Discussion :

[Thierry8]

Hello,

Je souhaiterai savoir s'il existe des fonctions en php pour connaitre l'extension des fichier, tout comme cela est possible avec les images ?

Autre point :

Je sais que grâce à cela: $_FILES['userfile']['type'] on peut connaître le type de fichier...mais dans la doc. il ne parle que de celui-ci: image/gif

Comment avoir / connaître la liste des possibilités ?

Merci de votre aide.

[berceker united]

regarde la doc il y a une fonction pour avoir toute les informations concernant le fichier sous forme de tableau. Il existe aussi une fonction pour avoir le type mime d'un fichier.

[Thierry8]

humm..

C'est justement LA fonction que je recherche...
J'ai regardé dans la doc. en vain, d'où ma présence ici

[Anduriel]

Pour certains types de fichiers (.doc, .exe, .zip) tu as leurs caractériques dans $_FILES['type'].
C'est quoi tes types de fichiers?
Et sinon, tu veux vraiment leur application ou juste trouver l'extension ça t'irait?

[kankrelune]

Par sécurité mieux vaut ne pas tenir compte de $_FILES['type']... .. .

pour récupérer l'extension tu peux faire...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ext = substr($filename,strrpos($filename,'.'));

@ tchaOo°

[berceker united]

Attention, il y a certain qui place deux points au fichier. Exemple connu. monfichier.class.php

[MasterOfChakhaL]

Attention, il y a certain qui place deux points au fichier. Exemple connu. monfichier.class.php

c'est surement pour ca que la fonction proposée est strrpos et non strpos ce qui permet d'effectuer la recherche du caracère à partir de la droite

[Anduriel]

Justement je trouve que l'extension ne veut rien dire: on peux très bien créer un fichier texte et le renommer en avi. (Bon je suis d'accord c'est con...)

[Thierry8]

Justement je trouve que l'extension ne veut rien dire: on peux très bien créer un fichier texte et le renommer en avi. (Bon je suis d'accord c'est con...)

Cela rejoint ce que je souhaite savoir..

Est-ce que faire le test sur le nom du fichier est suffisant ?
(point de vu sécurité)

merci à tous de votre aide.

[MasterOfChakhaL]

le seul moyen vraiment sur pour connaitre le type de ton fichier est de lire l'entête du fichier...
là ou ca se complique, c'est qu'il faut connaitre les spéc de chaque format...
par exemple, les deux premiers octets d'un fichier bitmap représentent les caractères B et M

la vérification de l'extension n'est vraiment pas une méthode sure, mais elle me parait suffisante pour proposer des fichiers en téléchargement...

[Thierry8]

tu veux dire pour proposer le téléchargement de fichier ?

n'y a t-il pas des scripts sur lesquels on peut s'appuyer ?
Des tuto, etc..

EDIT: avec par exemple un .doc...on ne peux rien faire si ?

[Anduriel]

Si tu ouvres un fichier .doc avec le bloc-note, tu vois qu'il commence toujours (enfin chez moi) par ÐÏࡱá (regarde par toi même). Sinon dans $_FILES['fichier_doc']['type'], tu as une application précise pour ces fichiers.

[Thierry8]

oui mais c'est la même que pour un fichier php.

la ou je veux en venir c'est que si une personne dl un .doc, il ne pourra l'executer en php...donc pas de risque...

[berceker united]

php propose une fonction pour récupérer le type mime mais là j'ai la fleme de chercher ce soir

[Thierry8]

Oui c'est mime_content_type(), qui n'est pas considérée comme fiable...

[Anduriel]

oui mais c'est la même que pour un fichier php.

la ou je veux en venir c'est que si une personne dl un .doc, il ne pourra l'executer en php...donc pas de risque...

Dans ce cas fait comme kankrelune a dit non?

[Thierry8]

bah oui ce qu'il a dit est niquel...

mais ma question est de savoir s'il y a un risque à accepter un fichier simplement parce que l'extension est acceptée..?

par exemple j'accepte les .doc, mais celui-ci contient du php, la personne qui tente de pirater, peut-elle exécuter un fichier en .doc, ou il n'y a pas de risque justement...

[bkill]

Honnêtement, je ne sais pas ce qui est le plus risqué niveau sécurité... se baser sur le $_FILES['...']['type'] (peut-être modifiable) ou se baser sur une extension de fichier (peut-être encore même plus modifiable...)

[kankrelune]

Honnêtement, je ne sais pas ce qui est le plus risqué niveau sécurité... se baser sur le $_FILES['...']['type'] (peut-être modifiable) ou se baser sur une extension de fichier (peut-être encore même plus modifiable...)

Sans hésitation la deuxième... le mime type fournis par $_FILE vient du naviguateur et est donc facilement falsifiable... l'extension elle bien qu'elle n'assure rien quand au contenu du fichier assure le comportement du serveur vis à vis de se dernier... essaye de faire un hello_world.php.jpg et d'aller dessus via ton navigateur... donc à moins que ton serveur soit configuré pour executer les fichiers .jpg comme application php () il n'y a aucun problème... le seul risque serait qu'un pirate réussise à renomer le fichier une fois que celui ci a été uploadé... mais là s'il arrive à faire ça il pourra faire bien plus sans php... .. .

@ tchaOo°

[Thierry8]

ok impeccable.

Merci à tous de votre aide !