Accueil > Forum > > > > Comment sécuriser mon uploader ?
 Comment sécuriser mon uploader ?
samedi 7 juin 2008 à 18:37:29 |
Comment sécuriser mon uploader ?
aszqwx
|
Bonjour,
J'ai les codes qu'il me faut pour faire mon hébergeur d'images (uploader), mais j'ai déjà une fois été hacké (un imbécile a chargé autre chose qu'une image et a vidé tout le dossier qui contenait mes images).
Je souhaiterais donc sécuriser mon code. Que dois-je faire ?
P.S. Je suis un gros débutant, donc n'y allez pas trop fort dans les explication 
P.S. 2 : mes fichiers sont download.php, index.php et resize.php
Merci !
|
|
samedi 7 juin 2008 à 18:57:32 |
Re : Comment sécuriser mon uploader ?
nicomilville
|
Salut, il faut vérifier que le fichier uploader corresponde a une extension que tu veus bien laisser passer... Exemple ? if ($_FILES['fichier']['type'] != 'bmp' && $_FILES['fichier']['type'] != 'jpg' && $_FILES['fichier']['type'] != 'png' && $_FILES['fichier']['type'] != 'jpeg' && $_FILES['fichier']['type'] != 'gif') { // le code a executer } else { echo "petit farceur, tu ne m'aura pas aussi facilement"; } a++ Si la réponse vous convient, pensez : Réponse acceptée !  |
|
samedi 7 juin 2008 à 19:10:24 |
Re : Comment sécuriser mon uploader ?
vilhjalms
|
Saell og blesuð
L extension ! lol il est prefereable de verifier le type de mime
Vilhjálms Sigurðsdóttir aka Frëyjá
|
|
samedi 7 juin 2008 à 19:16:42 |
Re : Comment sécuriser mon uploader ?
nicomilville
|
oui, mais l'extension c'est déja pas mal, après derrière on peut rajouter le type mime pour un max de sécurité... a++ Si la réponse vous convient, pensez : Réponse acceptée ! |
|
samedi 7 juin 2008 à 19:23:14 |
Re : Comment sécuriser mon uploader ?
aszqwx
|
Bonsoir,
Merci pour la réponse. Comme je l'ai dit, je suis un grand débutant, donc je vais avoir du mal avec tout ça, sauf si on me dit bien quoi exactement et où le mettre ;-)
Voilà mon code php :
<?
function sort_by_mtime($file1,$file2) {
$time1 = filemtime($file1);
$time2 = filemtime($file2);
if ($time1 == $time2) {
return 0;
}
return ($time1 < $time2) ? 1 : -1;
}
function GetExtensionName($File)
{
$Ext = strtolower(substr($File, strrpos($File, '.')));
return $Ext;
} $domain= " [ Lien ]";
$folder = "depot/";
//$dossier = opendir($folder);
$html_array = glob($folder."*"); usort($html_array,"sort_by_mtime"); foreach ($html_array as $Fichier) {
if (GetExtensionName($Fichier)==".zip") {
$bimg1="";
$bimg2="";
} else
{
$bimg1="[img]";
$bimg2="[/img]";
}
if ($Fichier != "." && $Fichier != "..") {
echo (
'<input size=\'100\'
type=\'text\'
value=\''.$bimg1.$domain.$Fichier.$bimg2.'\'
title=\''.$domain.$Fichier.'\'
onmouseover="select();montre_apercu(\''.$Fichier.'\');">
<a title=\''.$domain.$Fichier.'\' href=\''.$domain.$Fichier.'\'>lien direct</a>'
);
}
}
//closedir($dossier);
?>
Que dois-je ajouter pour qu'il n'y ait que et absolument que les images qui soient acceptées ?
En fait, ce que le hacker a fait (pour que vous compreniez), c'est qu'il a su intégrer son vers en mettant un fichier nom.php.jpg
Et comme l'extension jpg est autorisée, ça a été accepté. Comment éviter ça ?
|
|
samedi 7 juin 2008 à 19:27:05 |
Re : Comment sécuriser mon uploader ?
nicomilville
|
tu fais une expression régulière qui vérifie qu'il n'y ai qu'un "." dans le fichier si c'est le cas tu fais les autres vérifications et si le fichier est bon tu l'accepte sinon tu ne l'accepte pas et tu fais ce que tu veus... a++ Si la réponse vous convient, pensez : Réponse acceptée ! |
|
samedi 7 juin 2008 à 19:30:39 |
Re : Comment sécuriser mon uploader ?
aszqwx
|
Merci pour tes réponses déjà :)
Ce serait exactement ce qu'il me faudrait. Mais je te dis je n'y connais strictement rien, et tu m'embrouille déjà un peu hihi
Tu pourrais me faire ça dans mon code ?
Merci beaucoup !
|
|
samedi 7 juin 2008 à 19:41:32 |
Re : Comment sécuriser mon uploader ?
nicomilville
|
ba vu que tu es débutant que dirai tu que je te donne des tutoriaux qui t'aiderons a réaliser ça... déja je t'es donner le code pour vérifier l'extension... Je vais te mettre un lien pour les expressions régulière... désolé de t'embrouiller, pour les type mime demande à vilhjalms, elle s'y connais beaucoup mieux que moi... a++ Si la réponse vous convient, pensez : Réponse acceptée ! |
|
samedi 7 juin 2008 à 19:53:11 |
Re : Comment sécuriser mon uploader ?
aszqwx
|
Je vais attendre sa réponse ici, j'espère qu'elle repassera bientôt 
|
|
samedi 7 juin 2008 à 20:11:46 |
Re : Comment sécuriser mon uploader ?
nicomilville
|
ok, bonne chance, tiens nous au courant de si ça marche... a++ Si la réponse vous convient, pensez : Réponse acceptée ! |
|
Cette discussion est classée dans : images, php, uploader, sécuriser
 Répondre à ce message
 Sujets en rapport avec ce message
comment realiser des countours d'images [ par apz ]
salut,comment realiser des contours d'image, de facon a faire apparaitre de l'ombre au cote droite et bas d'une images en php ?Merci.<img src=/imgs2/s
Inclure a partir d'un rep different [ par fabiin ]
Salutavoir voila mon problème:J'ai un fichier/dossier/monfichier.phpki inclu une page /page.phpet dans cette page il y a une image /images/machin.gifO
download d'images... [ par Youki ]
J'explique : Je réalise un album photos en ligne avec flash et php. je permet aux utilisateur de sauvegarder les photos sur leur pc, sauf que ça march
Avec include, les images n'apparaissent pas !!! [ par jadiema ]
J'ai une page php qui me sert d'index. Dans cet index, j'essaye d'afficher une autre page php en utilisant la propriété include de php. Tout se passe
Upload dossier d'images et traitement [ par Silou ]
Bonjour,Je possède un site de vente de photo online, et le problème pour moi est que je doit parfois uploader sur le serveur des 10 ène d'images, vous
php-javascript [ par kipetchi ]
Bonjour,Un petit pb de variable:Je remplis un tableau avec des images contenues d'un repertoire en php:while($file = readdir($dir)) { $tab[$i] = $f
upload images php 4 [ par mariuscesar ]
salut , j'ai un pb svp. en fait mon hénergeur est passé à php 4.3.6 et je n'arrive pas à uploader les fichiers comme au paravent. ke faire ???
peut t-on comparer 2 images en php [ par djomsroset ]
sltj'ai une préocupation ,peut t-on comparer 2 images en php ou en un autre langage pour voir si elle sont identiques.
Uploader une image avec PHP [ par coolboy78 ]
Bonjourjaimerai uploader une photo, mais cela ne marche pas tellemment, juste avec des photo de petite taille ( comme les ptit smiley de MSN messenger
pb include php et images [ par bastien30 ]
j'ai un pb concernant l'utilisation des images avec include phpvoila mon site :/header.php /images/titre.jpg/pages/page1.phpheader.php comprend l'imag
 Livres en rapport
|
Derniers Blogs
 GESTION D'EXCEPTION AVEC LES TASKSGESTION D'EXCEPTION AVEC LES TASKS par richardc
Nous avons vu dans un précédent article comment utiliser Task pour effectuer des opérations dans un autre thread.
Malheureusement, comme tout le monde n'est pas parfait, il se peut que cette exécution se passe mal et qu'une exception se produise.
La...
Cliquez pour lire la suite de l'article par richardc DéMARRONS AVEC LES TASKSDéMARRONS AVEC LES TASKS par richardc
Que vous le vouliez ou non, le développement multi-tâche est maintenant une obligation pour toute nouvelle application. Il est donc vital d'en comprendre les mécanismes et de s'y mettre le plus tôt possible.
En attendant le .NET Framework 4.5 avec le...
Cliquez pour lire la suite de l'article par richardc SLIDE & DéMO TECHDAYS 2012 - FAST & FURIOUS XAML APPSSLIDE & DéMO TECHDAYS 2012 - FAST & FURIOUS XAML APPS par Vko
Retrouvez les slides et les démo de ma session Fast & Furious XAML Apps. A ceux qui se posent la question : "est-ce que le code de la DataGrid est disponible?", je vous répondrais "pas encore". Je vais mettre en place un projet codeplex pour part...
Cliquez pour lire la suite de l'article par Vko XNA IS DEAD!XNA IS DEAD! par richardc
Depuis la semaine dernière (et grâce aux TechDays 2012), je me penche activement sur la nouvelle version de Windows, aka Windows 8. Vous me direz, il était temps puisque la première preview date de Septembre dernier.
OK. Remarquez, on n'en est qu'aux...
Cliquez pour lire la suite de l'article par richardc TECHDAYS PARIS 2012 : WINDOWS SERVER "8" QUOI DE 9 !TECHDAYS PARIS 2012 : WINDOWS SERVER "8" QUOI DE 9 ! par ROMELARD Fabrice
Speakers: Fabrice Meillon et Stanislas Quastana Cette session est basée entièrement sur celle donnée lors de la BUILD cet hiver. Il n'y a pas d'ajout d'information en rapport avec cet évènement passé. Windows 8 Server sera intégralem...
Cliquez pour lire la suite de l'article par ROMELARD Fabrice
Forum
 CHAMPS TIMECHAMPS TIME par vargas
Cliquez pour lire la suite par vargas
Logiciels
 DocTranslate (V3.1.0.0)DOCTRANSLATE (V3.1.0.0)DocTranslate est un traducteur de document Microsoft Word, PowerPoint et Excel. Il permet d'autom... Cliquez pour télécharger DocTranslate Tribler (2012)TRIBLER (2012)Tribler est un client pair à pair (P2P/Peer-to-Peer) open source avec la capacité de regarder des... Cliquez pour télécharger Tribler OneSwarm (2012)ONESWARM (2012)Le peer-to-peer qui protège votre vie privée, c'est OneSwarm.
Ce logiciel de peer-to-peer crypté... Cliquez pour télécharger OneSwarm PONAMEDIA PREMIUM - HELLLOOO FLASH DEMO (V8.4)PONAMEDIA PREMIUM - HELLLOOO FLASH DEMO (V8.4)PONAMEDIA TV DEVIENS HELLLOOO FLASH
LA TV SUR VOTRE ORDINATEUR.
Toute une plateforme Multi... Cliquez pour télécharger PONAMEDIA PREMIUM - HELLLOOO FLASH DEMO Academy System (17.2.1.0)ACADEMY SYSTEM (17.2.1.0)Logiciel de gestion des établissements.
- élèves/étudiants (inscription, dossier, absence...)
-... Cliquez pour télécharger Academy System
|