Discussion :

[scamphp]

Bonjour

Pour récupérer des variables en toute sécurité, on doit utiliser des filtres, mais pour les images on fait comment ?

J'ai trouvé des tutos qui explique que l'on peut limiter l'envoi en fonction de la taille, du type de fichier etc...

Si j'ai bien compris le fichier est téléchargé dans un dossier temporaire et si on valide, on le déplacer dans un dossier définitif pour l'enregistrement.

Que doit-on faire pour sécuriser l'upload, car il peut exister des Virus et des script dans les fichiers image.

Pour les mails on nous demande d'avoir un anti-virus... mais sur mon site, je peux faire quoi ?

[scamphp]

Interdire la double extension nom.jpg.php est suffisant ???

[rawsrc]

salut,

je ne vois pas trop l'intérêt de la question...
Si c'est une image, tu l'affiches comme telle c'est à dire que cela sera toujours dans une balise <img src="">.
Tu peux toujours essayer de vérifier que les premier octets correspondent bien à un .jpg ou .png mais après tu ne dois jamais manipuler ce fichier autrement que comme une image.

[scamphp]

Je reformule ma question.

Quand on réceptionne des pièces jointes image, vidéo un peu tout... il arrive qu'un fichier puisse contenir un virus et il ne faut pas l ouvrir en espérant que l anti virus le détecte avant manipulation...

Idem quand on télécharge un fichier.... ou que l on récupère la clé usb de quelqu'un

On risque de récupérer de tout... virus malware, vers, cheval de troie....

Donc quand sur son site on autorise l envoie de fichier il est possible de récupérer un fichier douteux.

Comment pour sécuriser la réception de fichier... avant justement de les manipuler...

[Invité]

Bonjour,

il faut au moins vérifier l'extension (-> définir les extensions autorisées) et le type mime réel du fichier.

• exemple.

[scamphp]

Je suis surpris que cela soit suffisant...

Il existe des anti virus avec des basés de données listant des milliers de virus, cheval de troie, malware....

Alors qu il faut juste vérifier l extension et le Mime...