Probleme de conditions

**guy2004** · 05/11/2005, 11h53

bonjour j'ai un script avec plusieurs conditions, mais il y'en a une qu'il ignore même si elle est mauvaise. Elle concerne l'extension d'un fichier à uploader.
Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
.......
if(isset($_FILES['html']) && $_FILES['html']!='')
	{
		$filename = $_FILES['html']['name'];
		$userfile_type= $_FILES['html']['type'];
		$upfile = 'pictures/'.$filename;
		}
		elseif ($userfile_type != (('application/pdf')||('application/msdoc')))
			{
			print 'Le fichier n\'a pas une extension valide';
			exit;
			}else{
			move_uploaded_file($_FILES['html']['tmp_name'], 
                     $upfile); 
					 }
  	$sql = "insert into cours 
            (page, headline,story_text , created, modified, picture, userid)
          values 
            ('$page','$headline', '$story_text', $time, $time, '$filename', '"
             .$_SESSION['userid']."')";
	}
.....

C'est au niveau du "elseif" que mon script derappe, il devrait empecher l'upload mais il ne fionctionne pas

Merci pour votre aide :-)

**sanosuke85** · 05/11/2005, 12h15

oyo

de mes souvenirs c'est l'extension du fichier le ['type'] qui est pris en compte ; ensuite j'ai du mal avec ton code (je ne connais pas encore l'utilisation des || ^^) mais je me demande si 'application/pdf' est bon justement... Pour moi ça pourrait provenir de là... fais un echo de tes deux variables pour les comparer (type de ton fichier et ce qui doit être différent de l'application pdf)...

En espérant avoir été assez clair et utile ^^

**Mr N.** · 05/11/2005, 12h32

essaie ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

elseif ($userfile_type != 'application/pdf' || $userfile_type !=  'application/msdoc')

Ou bien ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$allowed_types = array('application/pdf', 'application/msdoc');
...
...
elseif (!in_array($userfile, $allowed_types)) {
...

Sinon sanosuke85 tu fais de l'objet mais tu connais pas || ...

**guy2004** · 05/11/2005, 13h11

Mr.N cela ne me donne rien avec aucune des 2 propositions

**Anduriel** · 05/11/2005, 13h21

Et genre avec:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
if(isset($_FILES['html']) && $_FILES['html']!='') 
   { 
      $filename = $_FILES['html']['name']; 
      $ext = substr(strstr($filename, '.'), 1);
      $upfile = 'pictures/'.$filename; 
      } 
      elseif ($ext != 'doc' or $ext != pdf)

**guy2004** · 05/11/2005, 13h26

Je vous mets tout le code.
Donc j'ai 2 conditions principales :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if (isset($_POST['story']) && $_POST['story']!='')

==> C'est un UPADATE
A l'interieur de cette condition, si le $_FILES est defini alors on remplace l'ancien fichier.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 if (isset($_FILES['html']['name'])&&($_FILES['html']['name']!='')){

Et pareil si c'est un INSERT.
Voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
if (isset($_POST['story']) && $_POST['story']!='') 
{   // update
$story = $_POST['story'];
 	 if (isset($_FILES['html']['name'])&&($_FILES['html']['name']!='')){
		$filename = $_FILES['html']['name'];
		$upfile = 'pictures/'.$filename;
                    move_uploaded_file($_FILES['html']['tmp_name'], $upfile);
   		$sql = "SELECT picture FROM cours WHERE id=$story";
  		$result = mysql_query($sql, $conn);
  		$num_results=mysql_num_rows($result);
 		for ($i=0; $i<$num_results; $i++)
  		{
  		$row=mysql_fetch_array($result);
  		}
  		if(!$result)
  		{
  		$erreur ="problème";
  		}
  		else
  		{
  		$fichier1="pictures/$row[0]";
		if(file_exists($fichier1))
		{
		unlink($fichier1);
		}
		}                 
		$sql = "update cours
          set headline = '$headline', 
              story_text = '$story_text',
              page = '$page',
              modified = $time,
			  picture = '$filename'
          where id = $story";
		}
		else{
		$sql = "update cours
          set headline = '$headline', 
              story_text = '$story_text',
              page = '$page',
              modified = $time
			 where id = $story";
		}

==> là cela gère l'UPDATE
et cela continu pour L'INSERT :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
}else {         
	// insert
	if(isset($_FILES['html']) && $_FILES['html']!='')
	{
		$filename = $_FILES['html']['name'];
		$userfile_type= $_FILES['html']['type'];
		$upfile = 'pictures/'.$filename;
		$allowed_types = array('application/pdf', 'application/msdoc'); 
 
		}
		elseif (!in_array($userfile, $allowed_types)) { 
 
			print 'Le fichier n\'a pas une extension valide';
			exit;
			}else{
			move_uploaded_file($_FILES['html']['tmp_name'], 
                     $upfile); 
					 }
  	$sql = "insert into cours 
            (page, headline,story_text , created, modified, picture, userid)
          values 
            ('$page','$headline', '$story_text', $time, $time, '$filename', '"
             .$_SESSION['userid']."')";
	}
 
	if(!isset($_FILES['html']))
	{
$sql = "insert into cours 
            (page, headline,story_text , created, modified, picture, userid)
          values 
            ('$page','$headline', '$story_text', $time, $time, 'NULL', '"
             .$_SESSION['userid']."')";
 
}
	$result = mysql_query($sql, $conn);
	if (!$result) {
 	 print "Erreur d'exécution <pre>$sql</pre>";
  	print mysql_error();
  	exit;
	}
	echo $_FILES['html'];

**guy2004** · 05/11/2005, 13h28

cela me donne rien Anduriel

**Mr N.** · 05/11/2005, 13h34

Il faut sortir

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$allowed_types = array('application/pdf', 'application/msdoc');

du if
T?u dois le mettre au tout début de ton script, voir de ton application.

De plus affiche le type qui est rejetté ça permet de de mieux debugger

**Anduriel** · 05/11/2005, 13h44

Pourtant avec mon code ça te retourne l'extension... Tu as fais un echo de $ext pour voir?

**Mr N.** · 05/11/2005, 14h12

Juste mon grain de sel (qui ne résoud pas le problème) pour dire que :
1. faire confiance au mime_type envoyer par le navigateur est une mauvaise chose car parfois faux
2. faire confiance à l'extension est pire à mon avis