Discussion :

[SpaceFrog]

Je souhaiterais sécuriser l'upload de mes fichiers par la vérification du type mime ...

la simple vérification de l'extension, du type ou du header ne me semblent pas suffisants, je cherchais à utiliser finfo, mais bienqu'ayant ajouté l'extension je n'arrive pas à mes fins j'ai un message d'erreur :

Warning: finfo::finfo() [function.finfo-finfo]: Failed to load magic database at 'D:\usr\share\misc\magic'. in D:\Path\PORTAIL_INTRANET\Admin\Update_Produitheque.php on line 60

existe-t-il un moyen simpel et sur de vérifier le type mime ?

[comode]

La question que je me pose, c'est "y a t-il un type mime lorsque l'on upload d'un fichier" ?

En effet, a quoi sert un MIME si ce n'est à distinguer de façon facile le type d'un fichier lorsqu'il est susceptible d'être utilisé directement lors de la lecture (dans un mail, un browser web....)

En d'autre terme, dans la mesure ou le serveur n'est pas censé "utiliser" directement les fichiers upladés, je ne vois pas pourquoi il aurait un type MIME qui - qui plus est - ne doit forcément être évident à détecter pour la navigateur...

Ensuite, je suis pas super callé en MIME :p

[SpaceFrog]

le serveur n'est pas supposé les utiliser directement je te l'accorde, mais ils peuvent tout de même être porteurs de scripts malsains applets ou autres

[comode]

Non, ce que je voulais dire, c'est qu'a mon sens, il n'y a pas du tout de type MIME a l'upload car cela n'est pas nécessaire... Pour moi, l'upload, c'est une opération brutale, sans finesse et en binaire donc sans MIME, donc rien qui ne soit "testable"...

Enfin je serait à ta place, je pense que je me serait directement penché sur l'analyse du contenu du fichier...

Alors pour les images par exemple, ça doit pouvoir être fait assez simplement avec un GD, ou pour l'exemple, tu pourrais vérifier qu'il s'agit bien d'un BMP en vérifiant que son head fasse la bonne taille et que la partie data contienne bien hauteur*largeur*palette pixels... Ce qui je te l'accorde serait moins évident avec un PDF, ou un DOC...

[SpaceFrog]

justement il s'agit de PDF

[comode]

aïe...
Je doute sincèrement que le navigateur prenne la peine d'analyser le fichier que tu upload pour lui attribuer un mime...

A la limite, pourquoi ne pas essayer de vérifier ton fichier avec FPDF plus l'extension FPDI (capable de créer un template a partir d'un PDF)...
Si t'arrives a ouvrir le PDF avec FPDI, c'est que le PDF est valide... Dans le cas contraire, tu refuses le fichier... Par contre, FPDI n'acceptera que les fichiers non protégés...