CONNAITRE SI LE FICHIER UPLOADER N'EST PAS UN FICHIER PHP

Commentaire de Naixn le 26/12/2006 09:57:56

Bah en fait là, il ne fait que lire la première ligne.
Il suffirait que je fasse :

<html>
<head>
<title><?php echo $conf['title']; ?></title>
</head>
<body>
<?php

do_something();

?>
</body>
</html>

Et là, son truc ne marche pas...
Mais quoiqu'il en soit, ce serait vraiment porc de lire l'ensemble du fichier pour vérifier si c'est un fichier PHP.
Imaginez : si quelqu'un upload une vidéo de 500Mo, le script PHP va faire des fgets() en masse dessus ?

Bref, 1 pour la source.
Je doute même qu'elle ne reste très longtemps.

Commentaire de Naixn le 26/12/2006 11:24:46

Ça dépend de la configuration Apache. C'est apache qui décide quel types de fichier sont à envoyer à PHP.
A mon boulot, par exemple, les fichiers HTML sont aussi envoyés à PHP.
De toute façon, la reconnaissance par l'extension n'a jamais été une bonne chose !

Commentaire de audayls le 26/12/2006 12:35:39

Analyser les fichiers HTML par PHP, c'est en quelque sorte de l'URL Rewriting non ?

Commentaire de Naixn le 26/12/2006 12:52:03

TheSin > Non, ça se devine bien qu'on utilise PHP, quand même.
Pendant un temps, c'était pour le référencement mais bon...
Mais en fait là, maintenant, les fichiers html, tu peux renommer en php c'est pareil, y'a des tags <?php ?> etc.

Enfin c'est pas moi qui ai choisi hein ! C'était déjà comme ça avant que j'arrive en fait =)

Commentaire de TheSin le 26/12/2006 13:52:48

Naixn, c'est sûr que c'est toujours plus pratique de simplement avoir l'extenstion html que php pour le référencement, mais il me semble que ça ne change rien, si ?
A la rigueur, vous avez toujours l'URL Rewriting, mais bon, vu que c'est pas toi qui décide .... ;-)

La solution par l'extension me parait être une bonne chose, si on a pas le serveur configuré comme à la boite de Naixn :-P

Commentaire de younes371 le 26/12/2006 14:45:15

la technique est tres lourde pour le serveur, mais elle est tres efficace,
mais reste à voir d'autres techniques plus simple,
par exemple la technique de verification d'extenstion :

<?php
//On fait un tableau contenant les extensions autorisées.
//Comme il s'agit d'un avatar pour l'exemple, on ne prend que
//des extensions d'images.
$extensions = array('.png', '.gif', '.jpg', '.jpeg');
// récupère la partie de la chaine à partir du dernier . pour
//connaître l'extension.
$extension = strrchr($_FILES['avatar']['name'], '.');
//Ensuite on teste
if(!in_array($extension, $extensions))
//Si l'extension n'est pas dans le tableau
{
     $erreur = 'Vous devez uploader un fichier de type png, gif, jpg, jpeg, txt ou doc...';
}
?>
//Cette méthode est une première approche qui nous suffit pour
//le moment mais, en réalité, il faudrait vérifier le type MIME
//des fichiers uploadés.

Commentaire de kankrelune le 26/12/2006 15:40:02

La méthode de Amezghal bien que lourde est la seule vraiment fiable... en effet il est très simple de contourner le filtrage par extension via une fausse extension ou via une attaque null byte... il est également possible de simuler une image en ajoutant le bon header dans le contenu du fichier... bref le seul moyen fiable c'est de parser le contenu... par contre la fonction si dessus doit être améliorée... .. .

<?php

function is_php($fichier)
{
    if(!is_file($fichier))
        return false;

    return (bool)preg_match('~<\?[^xml]~i',file_get_contents($fichier));
}

?>

@ tchaOo°

Commentaire de kankrelune le 26/12/2006 15:47:54

Et bien la fonction renverra true car <?php sera reconnu... moi je ne parse pas la première ligne mais tout le contenu... donc tu pourra mettre autant de text que tu veux ça reviendra au même... .. .

@ tchaOo°

Commentaire de kankrelune le 26/12/2006 15:57:13

Alors là je crois qu'on ne se comprend pas... l'interet de ce genre de fonction est d'empecher l'upload de tous les fichiers contenant du php pour éviter l'exploitation d'une faille include par exemple... car si on reprend l'exemple que tu donne précédament si le pirate réussis à l'inclure le fichier sera éxécuté quel que soit son extension... l'extension conditionne la façon dont le serveur traite le fichier mais concernant php ce n'est pas la même musique...

include('monfichier.txt');

le fichier sera éxécuté...

echo file_get_contents('monfichier.php');

le fichier ne sera pas éxécuté... mais je pense que je ne t'apprend rien... .. .

Donc le but ici est juste de tester la présence de code php... point... et cette fonction (ou plutot la version que je donne) le fait très bien... .. . ;o)

@ tchaOo°

Commentaire de Naixn le 26/12/2006 16:38:42

Kankrelune : je crois que tu n'as pas lus les commentaires juste avant.
Les serveurs Apache, IIS, lighTTPD, etc. peuvent être configurés tels qu'ils fassent interpréter les fichiers HTML par PHP.

Cela dépend donc du serveur...

Sinon, si c'est pour tester la présence de code PHP, on est d'accord, ça teste bien, même si la façon de faire est vraiment horrible.
Après, si c'est pour vérifier la présence de code PHP QUI VA ÊTRE EXECUTÉ, alors là, non, je ne suis pas d'accord :)

Commentaire de kankrelune le 26/12/2006 16:58:05

L'execution de code par php lors d'un include ne dépend pas du serveur donc ce n'est pas une question de configuration serveur... .. !

Par contre lorsque tu vas sur ce fichier en effet le serveur le traite en fonction de sa configuration... .. .

@ tchaOo°

ps : je ne dirais pas horrible... lourd sans ausun doute... mais si tu as une meilleur solution... .. ?

Commentaire de Naixn le 26/12/2006 17:20:31

Bah j'ai bien proposé de parser le php.ini ( ou php5.conf pour moi ) pour connaître les extensions à risque... :)
Mais sur Windows, ou sur tout autre configuration apache ou le php.ini ne fait qu'un seul et même fichier, ça risque d'être lourd...

Commentaire de webdeb le 26/12/2006 22:38:17

Il n'y a pas de solution fiable de toute façon !

Commentaire de malalam le 28/12/2006 09:12:21 administrateur CS

Hello,

j'arrive après la guerre on dirait...mais j'ai passé un très bon Noël ;-)
Bon, j'interviens juste pour dire que ce code va rester, déjà.
Et pour donner mon avis : tel que je le vois ici, même si sa place serait plutôt dans les snippets (www.codyx.org, je le rappelle), il me plait bien. Certes, ça peut être lourd, mais c'est efficace.  Et dans le cadre d'un upload, il faut voir qu'il sera rare que l'on ait à utiliser cette fonction 20 fois d'affilée...ou sur un gros fichier.
Pour reprendre cet exemple :
"
Pour faire un hello world en php, il faut faire :
==
<?php echo 'Hello World'; ?>
==
Voilà ! A la prochaine !
"
perso, je ne laisserais pas un mec uploader ce genre de fichier sur mon serveur web...c'est la porte ouverte à toutes les fenêtres, comme dirait l'autre.
Quand bien même aurais-je la main sur mon serveur, d'ailleurs : question de principe ;-)

Commentaire de amezghal le 28/12/2006 13:40:47

une faille d'include ??
explique bien cette faille ça aide plus les autres(aussi moi ;p)

Commentaire de coucou747 le 28/12/2006 14:08:36 administrateur CS

sur un gros fichiers, deux strpos, c'est mieux qu'un preg_match...

Commentaire de amezghal le 28/12/2006 15:00:35

$file=file_get_contents($fichier);
$pos=strpos($file,"<?");
if($i===false){
return true;
}else{
if(substr($file,$pos,3)=="xml")
return false;
else
return true;
}

Commentaire de coucou747 le 28/12/2006 15:19:18 administrateur CS

explode alors, mais ça aussi c'est gourmand...

Commentaire de malalam le 28/12/2006 15:23:35 administrateur CS

Suis de l'avis de Kankrelune, je pense que preg_match est la meilleure solution.

Commentaire de aze555666 le 02/01/2007 01:16:38

@malamam "perso, je ne laisserais pas un mec uploader ce genre de fichier sur mon serveur web...". Eh bien heuresement que Nix n'a pas les mêmes principes :-)
Pour reprendre le débat, on peut peut-ête éviter de se battre en utilisant la fonction de kankrelune lorsqu'un script php du site utilise un include non fixe (je veux dire qui d'inclue pas toujours le même fichier c'est à dire include('&fichier') plutot que include'machin.txt')), et se contenter de vérifier les extensions "à risque" (ce qui dépend du serveur, mais il suffit alors à chacun de lister dans le code php les extensions interdites une bonne fois pour toutes, plutot que de parser le php.ini à chaque exécution) lorsque ce n'est pas le cas.

Commentaire de coucou747 le 02/01/2007 12:51:32 administrateur CS

nix a un serveur ASP... impossible d'y exécuter du php (enfin, php tourne sous IIS, mais je serais étonné que nix ai installé le programme...)

Commentaire de coucou747 le 03/01/2007 16:16:45 administrateur CS

.... aze555666 ce code n'empèche pas d'uploader de fichiers asp...