Accueil > Forum > > > > interdire l'upload d'un fichier php
 interdire l'upload d'un fichier php
jeudi 3 décembre 2009 à 13:52:49 |
interdire l'upload d'un fichier php
xzonz
|
Bonjour a toutes et tous 
voila ma question
j'ai un script d'upload sur mon site web
et je voudrais savoir comment interdire
d'uploader des fichier php ou contenant du php
afin d'eviter des problèmes de sécurité.
Merci de votre aide 
Franck |
|
jeudi 3 décembre 2009 à 16:01:44 |
Re : interdire l'upload d'un fichier php
manu7930
|
// Définition du fichier dont il faut récupérer l'extension
$monArchive = $tonfichier;
// Une fois extention récupéré.
if(pathinfo($monArchive, PATHINFO_EXTENSION) == "php") {
exit(header('Location: redirection'));}
*********************************************
redirection= une page de ton choix par exemple
$tonfichier: le ou les fichier en question
|
|
jeudi 3 décembre 2009 à 19:28:33 |
Re : interdire l'upload d'un fichier php
xzonz
|
ok merci 
mais si un petit malin
met du php entre deux balises
html qu'il l'upload puis l'execute
la faille persiste
je pensais controller le type
mime du fichier avant de l'envoyer
mais j'ai aucune idee de la maniere
d'y parvenir 
tu as peut etre une idee
merci |
|
jeudi 3 décembre 2009 à 19:48:39 |
Re : interdire l'upload d'un fichier php
TychoBrahe
|
Salut,
mais si un petit malin
met du php entre deux balises
html qu'il l'upload puis l'execute
la faille persiste
Non. Normalement un serveur web (tel qu'apache) se fie à l'extension du fichier pour déterminer son comportement vis-à-vis d'un fichier. Par défaut un fichier .htm ou .html sera considéré comme tel et le PHP se trouvant à l'intérieur ne sera pas interprété.
je pensais controller le type
mime du fichier avant de l'envoyer
mais j'ai aucune idee de la maniere
d'y parvenir
Oui mais ça ne remplace pas la vérification de l'extension. Si tu veux l'ajouter regarde du côté de finfo_file(), en particulier l'exemple. |
|
vendredi 4 décembre 2009 à 10:43:33 |
Re : interdire l'upload d'un fichier php
xzonz
|
Salut
j'ai fait le test
et malheureusement quand je crée un fichier html bidon
et que je met du php dedans avec un unlink de ma page d'index
ou des choses du genre - que je retourne sur ma page web apres l'upload et que j'execute la page html ...
le code php est bien exécuté 
pour info je suis chez freeheberg
une solution peut etre ?
Merci de votre aide
Franck |
|
samedi 5 décembre 2009 à 11:10:16 |
Re : interdire l'upload d'un fichier php
TychoBrahe
|
Salut,
le code php est bien exécuté
pour info je suis chez freeheberg
une solution peut etre ?
La meilleur solution serait de ne pas utiliser un mutu dont on ne maîtrise pas la conf. Sinon tu devrait t'en sortir avec un AddHandler, si bien entendu tu peux utiliser les .htaccess ou autre moyen permettant d'agir sur la conf d'apache (si le serveur est bien apache bien entendu).
Au passage concernant la vérification du type MIME :
Code HTML : <html>
<head>
<title>toto</title>
</head>
<body>
<h1>coucou</h1>
<p>
<?php echo 'titi'; ?>
</p>
</body>
</html>tycho@uraniborg-> file toto.html
toto.html: HTML document text
tycho@uraniborg-> file toto.php
toto.php: HTML document text
Ça risque fort de ne pas vraiment fonctionner :) |
|
samedi 5 décembre 2009 à 12:50:51 |
Re : interdire l'upload d'un fichier php
kohntark
|
Salut,
Heu... pourquoi ne pas utiliser simplement str_replace() : Code PHP :
<?php
$content = str_replace('<?php','', $content);
?>... substr_replace(), ou ... Bref, virer les balises PHP.
C'est un exemple hein, il faut peut être l'adapter à ton cas (short_open_tag, ...)
Cordialement,
Kohntark -
|
|
samedi 5 décembre 2009 à 14:24:52 |
Re : interdire l'upload d'un fichier php
TychoBrahe
|
Salut,
Heu... pourquoi ne pas utiliser simplement str_replace() :
Parce que ça ne fonctionne que pour le PHP ? En acceptant uniquement des extensions connues on évite tout ce qui est php mais également perl, python, ruby, etc ; ce qui est difficile à mettre en place autrement. |
|
samedi 5 décembre 2009 à 15:33:14 |
Re : interdire l'upload d'un fichier php
kohntark
|
Désolé, je n'ai pas compris.
Pourquoi parles tu de Perl, etc ??
Je n'ai jamais dit qu'il ne fallait pas contrôler l'extension ou le type mime que je sache.
Je répondais à ça :
La meilleur solution serait de ne pas utiliser un mutu dont on ne maîtrise pas la conf. Sinon tu devrait t'en sortir avec un AddHandler, si bien entendu tu peux utiliser les .htaccess ou autre moyen permettant d'agir sur la conf d'apache (si le serveur est bien apache bien entendu).
Cordialement,
Kohntark -
|
|
Cette discussion est classée dans : fichier, php, upload, interdire
 Répondre à ce message
 Sujets en rapport avec ce message
Upload sur Free [ par bgK ]
lorsque j'essaie d'uploader un fichier,j'obtiens le message suivantWarning: Unable to access in upload.php on line 5la ligne 5 de upload.php : $des
upload de fichier [ par overider ]
salutj'ai un probleme sur un script d'upload de fichier :::// initialisation de la connexion FTPinclude("mysql.inc");$path="../files/";//echo substr(
upload gro fichier [ par MisterJAD ]
Bonjour à tous,j'ai besoin d'uploader via php et non via un logiciel ftp, des gros fichiers (max 10mo) sur le serveur.... mais meme lorsque je faitini
Upload de fichier.. AU SECOURS!! SVP!!! [ par UnKnoW ]
Bonjour!Avant que vous lisiez ceci sachez que j'apprécie ÉNORMÉMENT votre aide que j'en ai extrêmement de besoin!! Merci du fond du coeur!Mon problème
Upload fichier php [ par alanbraxe31 ]
Bonjour à tous!voila j'ai un gros soucis avec la fonction mail en php.je souhaites joindre un fichier à mon mail. A la réception du mail, les fichiers
UPLOAD -> comment faire???? [ par attentio ]
salut !!!! je voudrais savoir comment faire pour uploader un fichier.j'ai commencé quelques petites choses. en fait, j'ai un premier fichier nommé for
[Upload] "Cassage" de fichiers? [ par ricopetitdejeuner ]
Bonjour, Je suis en train de reprendre un code en php d'upload de fichiers sur un FTP (interne a la boite, donc pas de souci comme pour Free, d'
incrementation en php [ par kyript ]
bonjour en faite dans mon formulaire, on peut upload un fichier mais le pb j'aimerai genere un code qui s'increment a chaque upload de fichier
Formulaire html + php [ par jcheseaux ]
Bonjour ! Voila mon problème, j'ai créer un formulaire HTML gérant l'upload de fichier. Le problème, c'est que lors de l'envoie des variables depuis m
Taille fichier / upload [ par tweeder ]
Bonjour,J'ai modifié la taille maximal pour l'upload de fichier sur mon serveur à 30 mo. Malheureusement, je suis incapable d'uploader des fichiers qu
 Livres en rapport
|
Derniers Blogs
 POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) par richardc
Mise à jour des Web API du 14 Mai
Réservez dès maintenant votre journée du 20 juin pour le Windows Azure Dev Camp 2012 à Paris
Mise à jour de Team Foundation Service
MechCommander 2 sur Windows 8
Entity Framework 5 Release Candidate e...
Cliquez pour lire la suite de l'article par richardc
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|