upload de fichier - interdire l'up de php.

bonjour a tous

voila , jai un petit formulaire d'envoi de fichiers sur mon server apache , mais je voudrais pouvoir empecher l'upload de fichier PHP, comment proceder svp??

je suis pas un as du code , jai trouver sa , peut etre pourraije m'en servir >

[code]
  $type_file = $_FILES['fichier']['type'];

    if( !strstr($type_file, 'jpg') && !strstr($type_file, 'jpeg') && !strstr($type_file, 'bmp') && !strstr($type_file, 'gif') )
    {
        exit("Le fichier n'est pas une image");
    }
[/code]
-----------
voici mon formulair d'upload>
[code]
<input type="file" name="fichier" / size="55">
<input type="submit" value="envoyer" />
</font></p>
                </td>
            </tr>
            <tr>
                <td width="689" bgcolor="#111010" bordercolordark="#CCCCCC" bordercolorlight="#CCCCCC">
                    <p align="center"><u><strong><font face="Lucida Sans Unicode" color="#999999">Status :</font></strong></u><font face="Lucida Sans Unicode"><br>
</font><font face="Lucida Sans Unicode" color="#111010">                    <?php
if ($_FILES['fichier']['name'] != '') {
$destination = "- Fichiers envoyes sur le server -/".$_FILES['fichier']['name'];
if (is_uploaded_file($_FILES['fichier']['tmp_name'])) {
$upload = move_uploaded_file($_FILES['fichier']['tmp_name'], $destination) or die("impossible de déplacer le fichier"); }
echo '<font color="#C0C08C"><strong>>> Fichier envoyé sur le serveur avec Succès. <<<br>>> Voici le lien vers votre fichier >><br>>>  </strong></font><font color="#C0C08C"> http://HORNYmusicSERVER.myftp.biz/server/';
echo str_replace(' ','%20',$destination);
echo '</font>';
}
?>
[/code]

Salut, Bon ton code est tellemet fouilli que je ne regarde pas en détails. Pour empêcher d'uploader un fichier .php, il suffit de vérifier son extension lors de l'upload et de ne pas copier le fichier uploadé dans le répertoire d'upload. Le test doit se faire juste avant l'utilisation de move_uploaded_file

Salut,

faut aussi penser a bloquer toutes les failles d'includes car si t'arrives a inclure dans une page php, un .txt qui contient du code, il sera execute


In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)

je patauge a mort les meks, je vous reposte mon code en propre

voici mon formulair d'upload>


[code]


<input type="file" name="fichier" / size="55">
<input type="submit" value="envoyer" />

<?php
if ($_FILES['fichier']['name'] != '') {
$destination = "- Fichiers envoyes sur le server -/".$_FILES['fichier']['name'];

if (is_uploaded_file($_FILES['fichier']['tmp_name'])) {
$upload = move_uploaded_file($_FILES['fichier']['tmp_name'], $destination) or die("impossible de déplacer le fichier"); }

echo ' http://monsite.com/';
echo str_replace(' ','%20',$destination); // permet dafficher le lien du fichier uploadé.
}

?>

[/code]

merci davance pour votre aide , je suis sur ke c'est juste 2 ptites lignes mais je ne trouves pas la commande...
si quelqu'un peut m'aider dans le futur pour utiliser cette commande , sa serait top , je veux dire , au niveau de la syntaxe du kode

merci a vous

Salut, T'as pas du chercher beaucoup, parce que la question "comment récupérer l'extension d'un fichier" a sûrement déjà été posée, elle est abordée dans une source récente, et on trouve des centaines de codes pour faire ça en prenant un peu de temps sur Google. Ce que je te disais, c'est de vérifier l'extension, et si c'est .php annuler l'upload (supprimer le fichier temporaire). Coucou747 attirait également ton attention sur le fait que tu dois faire attention à ce que tu fais du fichier uploadé. Maintenant, si on doit t'écrire ton code, autant que tu nous fasses tout de suite une offre en Euros (je prends aussi les Francs Suisses) Je suis certain qu'il existe déjà des sources (même sur phpCS) permettant d'uploader certains types de fichiers et pas d'autres. Va faire un tour par là, tu pourras certainement t'inspirer de ce qui a déjà été fait (tu peux même réutiliser une source, elles sont là pour ça). Bonne continuation.

Dans ma grande bonté, je te file la fonction que j'ai créée
Comme tu peux le voir il suffit de configurer la liste (array) des extensions autorisées

function upload($champ_files, &$nom_fichier_transfere, $repertoire_destination, &$message,
                $extensions_autorisees_array=array('pdf','jpg','jpeg','gif','png'),
                $taille_max_fichier=2000000, $chmod=755)
{    /*Fonction qui transfère un fichier sur le serveur.
    Retourne true si le transfert s'est déroulé correctement, false sinon.

    Liste des paramètres :
    - $champ_files : $_FILES['nom_du_champ']
    - $nom_fichier_transfere (donnée-resultat) : Nom que l'on veut donner au fichier transféré
                                                 (modifié automatiquement si un fichier porte
                                                 déjà le même nom)
    - $repertoire_destination : Chemin relatif du répertoire dans lequel on veut transférer le fichier
    - $message (donnée-resultat) : Message généré par lors du transfert
    - $extensions_autorisees : Tableau contenant la liste des extensions des fichiers autorisées
    - $taille_max_fichier : Taille maximale (en octets) autorisée pour le fichier à transférer
                            (Aide : 1Ko = 1000 octets; 1Mo = 1000000 octets)
    - $chmod : Chmod du fichier transféré*/

    /*Initialisations*/
    $upload_reussi = false;
    $message = '';
    $extension = $str_formats_autorises = '';
   

    /*On vérifie que $nom_fichier_transfere et $repertoire_destination ne soient pas vides*/
    if ($nom_fichier_transfere == '' OR $repertoire_destination == '')
        $message = 'Erreur : Vous devez préciser un nom à donner au fichier à transférer ainsi qu\'un répertoire de destination';

    /*On vérifie que la taille du fichier à transférer n'est pas trop importante*/
    elseif ($champ_files["size"] > $taille_max_fichier) //Si la taille de la fic est supérieure à la taille max
    {
        $taille_max_autorisee = $taille_max_fichier / 1000;

        $message =  'Erreur : La taille du fichier que vous voulez transférer est trop grande.<br />'.br().
        'Taille maximale autorisée : '.$taille_max_autorisee.' Ko';
    }

    else //Aucune erreur pour le moment
    {
        /*On supprime les accents et caractèers spéciaux*/
        $nom_fichier_transfere = clearStr($nom_fichier_transfere);

        /*On récupère l'extension du fichier envoyé*/
        $extension_fichier = substr(strchr($champ_files["name"],'.'),1);


        /*On récupère la liste des formats autorisés et on vérifie si l'extension du fichier est autorisée*/
        $extension_autorisee = false; //Initialisation

        foreach ($extensions_autorisees_array as $extension)
        {
            $str_formats_autorises .= $extension.', ';

            /*On vérifie si l'extension du fichier est autorisée*/
            if (!$extension_autorisee AND $extension_fichier == $extension)
                $extension_autorisee = true;
        }

        /*Suppression de la ,(virgule) à la fin de $str_formats_aurorises*/
        $str_formats_autorises = implode(', ', $extensions_autorisees_array);


        if (!$extension_autorisee) //Si le format du fichier n'est pas valide
        {
            $message =     'Erreur : Le fichier que vous voulez transférer ne porte pas une extension autorisée.<br />'.br().
            'Extension du fichier que vous voulez transférer : '.$extension_fichier.'<br />'.br().
            'Extenstions autorisées : '.$str_formats_autorises;

        }
        else //Format valide
        {
            /*Si le fichier existe on le renomme de la forme nomDuFichier(X).extension*/

            /*Initialisations*/
            $i = 0;
            $extension = '.'.$extension_fichier;
            $nom_fichier_transfere = str_replace($extension,'',$nom_fichier_transfere);

            /*On renomme le fichier tant qu'un fichier porant le même nom existe*/
            while (file_exists($repertoire_destination.$nom_fichier_transfere.$extension))
            {
                /*Suppression de l'éventuel (X) existant*/
                $nom_fichier_transfere = str_replace('('.$i.')','',$nom_fichier_transfere);

                /*On incrémente le compteur*/
                $i++;

                /*Ajout de (X)*/
                $nom_fichier_transfere = str_replace($nom_fichier_transfere,$nom_fichier_transfere.'('.$i.')',$nom_fichier_transfere);
            }

            /*Nom de destination final*/
            $nom_fichier_transfere = $nom_fichier_transfere.$extension;

            if (is_uploaded_file($champ_files["tmp_name"])) //Si le fichier a été uploadé correctement
            {
                /*On renomme le fichier avec le nom du fichier envoyé (nom éventuellement maj)*/
                if (!rename($champ_files["tmp_name"], $repertoire_destination.$nom_fichier_transfere))
                {
                    $message .= "Envoi du fichier impossible";
                }
                else //Transfert réussi
                {
                    /*On modifie les chmod du fichier*/
                    chmod ($repertoire_destination.$nom_fichier_transfere,'0'.$chmod);

                    $upload_reussi = true; //Transfert réusssi

                    $message = "Le fichier a correctement été transféré !";
                }
            }
        }
    }
   
    return $upload_reussi;
}

Avec ces deux autres fonctions :

/*Fonction qui supprime tous les caractères spéciaux et met éventuellement tout en minuscule*/
    function clearStr($str, $strToLower=true)
    {
        $str = strtr($str,"ÀÁÂÃÄÅàáâãäåÒÓÔÕÖØòóôõöøÈÉÊËèéêëÇçÌÍÎÏìíîïÙÚÛÜùúûüÿÑñ","AAAAAAaaaaaaOOOOOOooooooEEEEeeeeCcIIIIiiiiUUUUuuuuyNn");
        $str = ereg_replace('[^a-zA-Z0-9_.]','-',$str);
       
        if ($strToLower === true)
            $str = strtolower($str);
           
        return $str;
    }

/*Fonction qui renvoit le code permettant de faire un saut à la ligne dans un document*/
    function br()
    {
        return chr(10).chr(13);
    }

jte remerci pour ton aide mek!!! ;)

parc ontr je suis trop un blaireau....
et jarrives pas a m'en servir , c'est la prmiere fois que je mattaque au php (ou presque), et du kou je n esait pas commentulisez cette fonction dans mon code que j'ai laissé plus haut....


merci encore

Salut,

Je veux pas jouer le rabas-joie mais le plus simple et le plus rapide est d'apprendre les rudimens du langage PHP.
Il y a plusieurs sites qui proposent de bons tutoriaux.

Je sais que c'est saoulant mais c'est la meilleure méthode pour apprendre "rapidement"

Bon courage