Bonjour,
J'ai entendu dire que quand on récupérait des images sans passer par l'upload classique (donc des images distantes via file_get_content par exemple), il fallait les analyser pour voir si elles ne contenaient pas de code malvaillant (des scripts php ou autre).
Ainsi est ce que vérifier la présence de "<?", "?>","<script" et "script>" suffit à m'assurer que l'image que je vais récupérer est saine ?
Je fais ceci (je sais j'aurai pu utiliser un switch mais c'est pour l'exemple):
Est ce correct ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7$imgDistante = file_get_contents("http://www.toto.com/images/titi.jpg"); // je veux m'assurer que titi.jpg ne contient pas de code malvaillant if(substr_count($fic_img , "<?" ) > 0 || substr_count($fic_img , "?>" ) > 0 || substr_count($fic_img , "<script" ) > 0 || substr_count($fic_img , "script>" ) > 0){echo "erreur";} else { file_put_contents($imgRenomee, $imgDistante); }
Y a t-il d'autres occurences à vérifier pour sécuriser la copie des fichiers distants ?
Merci d'avance
Partager