Discussion :

[grunk]

Bonjour à tous ,
j'ai fait un explorateur de fichier et je souhaites le chrooter, c'est à dire empecher les utilisateur de remonter au dela du dossier original.

Les scripts de listing , recevant des chemins , il n'est pas impossible qu'un utilisateur un peu débrouillard puisse remonter l'arboresence en injectant un "../"
Pour contrer le problème je fait systématiquement un str replace sur ce que je reçois pour supprimer les : .. , ../, ..%2F

Voyez vous d'autres options possible pour remonter l'aboresence ?

[FoxLeRenard]

Bonjour à tous ,
j'ai fait un explorateur de fichier et je souhaites le chrooter, c'est à dire empecher les utilisateur de remonter au dela du dossier original.

Les scripts de listing , recevant des chemins , il n'est pas impossible qu'un utilisateur un peu débrouillard puisse remonter l'arboresence en injectant un "../"
Pour contrer le problème je fait systématiquement un str replace sur ce que je reçois pour supprimer les : .. , ../, ..%2F

Voyez vous d'autres options possible pour remonter l'aboresence ?

Surement oui, mais tu peux donner ton source, et si tu as, un exemple en ligne

[grunk]

Pas d'exemple en ligne (intranet) mais voici un extrait de code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 
$racine = $configIni->root.'documents/';
 
$file 	= htmlspecialchars($_GET['f']);
 
$a 		= array('..','../','..','..%2F',);
 
$b 		= array('','','','');
 
$file 	= str_replace($a,$b,$file);
 
$file   = htmlspecialchars($file);
 
if(isset($_GET['f']))
 
	$racine = $configIni->root.'documents'.urldecode($file);
 
 
 
try{
 
$explorer = new File_FolderManager(utf8_decode($racine));
 
//$explorer->setFilter('avi|wmv|pdf');
 
$fichiers = $explorer->listFile();
 
$dossiers = $explorer->liste();
 
}
 
catch(Util_ExceptionHandler $e){
 
	echo $e->getError();
 
}

La méthode listFile :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
public function listFile()
 
{
 
	$folder = new DirectoryIterator($this->dossier);
 
	$compteur =  0;
 
	foreach($folder as $file)
 
	{
 
		if(!$file->isDot() && !$file->isDir() && $this->filter($file->getFilename()))
 
		{
 
			$this->listeFichier[$compteur]['name'] = $file->getFilename();
 
			$this->listeFichier[$compteur]['size'] = round($file->getSize()/1024,2);
 
			$this->listeFichier[$compteur]['type'] = File_Util::getExtension($this->listeFichier[$compteur]['name']);
 
			$this->listeFichier[$compteur]['date'] = $file->getMTime();
 
			$compteur++;
 
		}
 
	}
 
	sort($this->listeFichier);
 
	return $this->listeFichier;
 
}