[Upload] Vérification de type mime

Je souhaiterais sécuriser l'upload de mes fichiers par la vérification du type mime ...

la simple vérification de l'extension, du type ou du header ne me semblent pas suffisants, je cherchais à utiliser finfo, mais bienqu'ayant ajouté l'extension je n'arrive pas à mes fins j'ai un message d'erreur :

Citation:

---

Warning: finfo::finfo() [function.finfo-finfo]: Failed to load magic database at 'D:\usr\share\misc\magic'. in D:\Path\PORTAIL_INTRANET\Admin\Update_Produitheque.php on line 60

---

existe-t-il un moyen simpel et sur de vérifier le type mime ?

La question que je me pose, c'est "y a t-il un type mime lorsque l'on upload d'un fichier" ?

En effet, a quoi sert un MIME si ce n'est à distinguer de façon facile le type d'un fichier lorsqu'il est susceptible d'être utilisé directement lors de la lecture (dans un mail, un browser web....)

En d'autre terme, dans la mesure ou le serveur n'est pas censé "utiliser" directement les fichiers upladés, je ne vois pas pourquoi il aurait un type MIME qui - qui plus est - ne doit forcément être évident à détecter pour la navigateur...

Ensuite, je suis pas super callé en MIME :p

le serveur n'est pas supposé les utiliser directement je te l'accorde, mais ils peuvent tout de même être porteurs de scripts malsains applets ou autres

Non, ce que je voulais dire, c'est qu'a mon sens, il n'y a pas du tout de type MIME a l'upload car cela n'est pas nécessaire... Pour moi, l'upload, c'est une opération brutale, sans finesse et en binaire donc sans MIME, donc rien qui ne soit "testable"...

Enfin je serait à ta place, je pense que je me serait directement penché sur l'analyse du contenu du fichier...

Alors pour les images par exemple, ça doit pouvoir être fait assez simplement avec un GD, ou pour l'exemple, tu pourrais vérifier qu'il s'agit bien d'un BMP en vérifiant que son head fasse la bonne taille et que la partie data contienne bien hauteur*largeur*palette pixels... Ce qui je te l'accorde serait moins évident avec un PDF, ou un DOC...

justement il s'agit de PDF :(

aïe...
Je doute sincèrement que le navigateur prenne la peine d'analyser le fichier que tu upload pour lui attribuer un mime...

A la limite, pourquoi ne pas essayer de vérifier ton fichier avec FPDF plus l'extension FPDI (capable de créer un template a partir d'un PDF)...
Si t'arrives a ouvrir le PDF avec FPDI, c'est que le PDF est valide... Dans le cas contraire, tu refuses le fichier... Par contre, FPDI n'acceptera que les fichiers non protégés...

finfo que tu voulais utiliser au debut est la meilleure solution.. Il ne se base pas sur l'extension, mais sur le contenu reel du fichier. A ma connaissance, c'est le seul moyen fiable de proteger un serveur permettant l'upload de fichiers !

Le probleme dans ton cas c'est que fileinfo a besoin d'une base de données des types mime.. et effectivemment, l'erreur que tu indique montre bien que cette base n'est pas trouvée ..

As tu vu ce tutorial d'installation sur windows ?
http://fr3.php.net/manual/fr/fileinfo.installation.php

Perso, je l'ai toujours utilisé sur des serveurs linux, donc je ne peux pas trop t'aider, mais avec fileinfo, tu auras le type mime exact du fichier uploadé

Oui j'ai bien les 4 fichiers dans un repertoire php5\extras\magic

tu as aussi cette discussion qui t'aidera peut-etre :
http://pecl.php.net/bugs/bug.php?id=7555

En parlant de type MIME, sous Vista le type d'une archive RAR est application/octet-stream alors que normalement c'est application/x-rar-compressed (sous XP et inférieur).
J'ai donc procédé à divers tests depuis des postes XP et Vista avec le même fichier rar.
Conclusion, le type mime est attribué par le poste client. 8O