Discussion :

[artichaudd]

Bonjour

j'ai fait un formulaire dans le quel je peux uploader un fichier
ensuite dans le traitement de ce formulaire et donc de ce fichier

j’aimerais autorisé plusieurs type de fichier genre :
png, gif, jpg, jpeg, txt ou doc, exel...

y a t'il des extensions a éviter en terme de sécu
et enfin y a t'il une liste toute faite des extensions les plus classiques, qu'il est possible de rencontrer car je ne les connais surement pas toutes

merci

[Celira]

Tout dépend du but de ton formulaire : par exemple, si tu gères une galerie photos, il faut te limiter aux extensions d'images.
A noter : les extensions ne sont pas la panacée pour la vérification. Rien n'empêche ton utilisateur de renommer son fichier .Exe en .jpg avant de l'uploader.

[Devildz]

Pour moi les extensions à éviter sont : php, aspx, asp, html....

Si les fichiers uploadé sont directement affiché sur le site, il faudrait même interdire les extensions ZIP, RAR....etc car y a des petits malin qui mettent des virus dedans.

en tout les cas ça dépendras de ce que tu veux faire, comme une galerie de photo ou tu autorisera seulement les extensions d'images.

[Benjamin Delespierre]

Pour les fichier, le mieux est d'utiliser une white list d'extensions autorisées plutôt qu'une black list d'extensions interdites.

Ce qui peut se faire très simplement avec:

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
// Extensions disponibles
$exts = array('jpg', 'jpeg', 'png', 'gif');
 
$parts = explode('.', $filename);
$ext = array_shift($parts);
if (!in_array(strtolower($ext), $exts))
  echo "Extension $ext non autorisée !";

On peut aussi utiliser les regexp (à voir qui est le plus rapide):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$exts = array('jpeg', 'png', 'gif', 'jpg');
 
if (!preg_match('~\.('.implode('|',$exts).')$~i', $filename))
  echo "Fichier invalide !";

[grunk]

Attention, comme le dit celira se baser uniquement sur le nom du fichier pour vérifier l'extension n'est pas suffisant dans un environnement à risque (upload public).

Il faut en plus vérifier le type mime du fichier pour s'assurer que l'extension corresponde au fichier (un type applicatif avec une extension jpg c'est louche par exemple).

Pour ça il existe fileinfo , intégré à php depuis la 5.3 ou pour les versions plus anciennes il y'a mime_magic

un exemple avec fileinfo : http://blog.pascal-martin.fr/post/ph...tions-fichiers

Il est important d'être très rigoureux sur les uploads de fichier car ça devient vite la catastrophe si il sont exploités.