Comment sécuriser mon uploader ?

Bonjour,

J'ai les codes qu'il me faut pour faire mon hébergeur d'images (uploader), mais j'ai déjà une fois été hacké (un imbécile a chargé autre chose qu'une image et a vidé tout le dossier qui contenait mes images).

Je souhaiterais donc sécuriser mon code. Que dois-je faire ?

P.S. Je suis un gros débutant, donc n'y allez pas trop fort dans les explication
P.S. 2 : mes fichiers sont download.php, index.php et resize.php

Merci !

Salut,

il faut vérifier que le fichier uploader corresponde a une extension que tu veus bien laisser passer...

Exemple ?

if ($_FILES['fichier']['type'] != 'bmp' && $_FILES['fichier']['type'] != 'jpg' && $_FILES['fichier']['type'] != 'png' && $_FILES['fichier']['type'] != 'jpeg' && $_FILES['fichier']['type'] != 'gif') {

// le code a executer

} else {

echo "petit farceur, tu ne m'aura pas aussi facilement";

}

a++

Si la réponse vous convient, pensez : Réponse acceptée !

Saell og blesuð

L extension ! lol il est prefereable de verifier le type de mime

Vilhjálms Sigurðsdóttir aka Frëyjá

oui, mais l'extension c'est déja pas mal, après derrière on peut rajouter le type mime pour un max de sécurité...

a++

Si la réponse vous convient, pensez : Réponse acceptée !

Bonsoir,

Merci pour la réponse. Comme je l'ai dit, je suis un grand débutant, donc je vais avoir du mal avec tout ça, sauf si on me dit bien quoi exactement et où le mettre ;-)

Voilà mon code php :

<?
function sort_by_mtime($file1,$file2) {
    $time1 = filemtime($file1);
    $time2 = filemtime($file2);
    if ($time1 == $time2) {
        return 0;
    }
    return ($time1 < $time2) ? 1 : -1;
    }
function GetExtensionName($File)
{
 $Ext = strtolower(substr($File, strrpos($File, '.')));
 return $Ext;
}

 $domain= " [ Lien ]";
     $folder = "depot/";
 //$dossier = opendir($folder);
   
$html_array = glob($folder."*");

usort($html_array,"sort_by_mtime");

 foreach ($html_array as $Fichier) {
  if (GetExtensionName($Fichier)==".zip") {
   $bimg1="";
   $bimg2="";
  } else
  {
   $bimg1="[img]";
   $bimg2="[/img]";
  }
  if ($Fichier != "." && $Fichier != "..") {
   echo (
   '<input size=\'100\' 
   type=\'text\' 
   value=\''.$bimg1.$domain.$Fichier.$bimg2.'\'
   title=\''.$domain.$Fichier.'\'
   onmouseover="select();montre_apercu(\''.$Fichier.'\');">&nbsp;
   <a title=\''.$domain.$Fichier.'\' href=\''.$domain.$Fichier.'\'>lien direct</a>'
   );
  }
 }
 //closedir($dossier);
?>


Que dois-je ajouter pour qu'il n'y ait que et absolument que les images qui soient acceptées ?
En fait, ce que le hacker a fait (pour que vous compreniez), c'est qu'il a su intégrer son vers en mettant un fichier nom.php.jpg
Et comme l'extension jpg est autorisée, ça a été accepté. Comment éviter ça ?

tu fais une expression régulière qui vérifie qu'il n'y ai qu'un "." dans le fichier si c'est le cas tu fais les autres vérifications et si le fichier est bon tu l'accepte sinon tu ne l'accepte pas et tu fais ce que tu veus...

a++

Si la réponse vous convient, pensez : Réponse acceptée !

Merci pour tes réponses déjà :)

Ce serait exactement ce qu'il me faudrait. Mais je te dis je n'y connais strictement rien, et tu m'embrouille déjà un peu hihi

Tu pourrais me faire ça dans mon code ?

Merci beaucoup !

ba vu que tu es débutant que dirai tu que je te donne des tutoriaux qui t'aiderons a réaliser ça...

déja je t'es donner le code pour vérifier l'extension...

Je vais te mettre un lien pour les expressions régulière...

désolé de t'embrouiller, pour les type mime demande à vilhjalms, elle s'y connais beaucoup mieux que moi...

a++

Si la réponse vous convient, pensez : Réponse acceptée !

Je vais attendre sa réponse ici, j'espère qu'elle repassera bientôt

ok, bonne chance, tiens nous au courant de si ça marche...

a++

Si la réponse vous convient, pensez : Réponse acceptée !