Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
lire le fichier d'une image
Bonjour,
Je suis en train de créer un script upload pour des images
Après avoir prévu les vérifications classiques (type, taille, renommer le fichier, vérifié la double extension) je me pose la question suivante
Si un petit rigolo s'amuse en envoyer une image dont le fichier contient un code malicieux (je parle du fichier qui permet l'affichage de l'image)
Comment je peux le vérifier
Merci
Comment vas-tu stocker et afficher l'image ? Tu l’enregistres dans un dossier spécifique sur le serveur et tu l'affiches directement via une balise img ? En base et tu as un script display_image.php ?
Modératrice PHP
Aucun navigateur ne propose d'extension boule-de-cristal : postez votre code et vos messages d'erreurs. (Rappel : "ça ne marche pas" n'est pas un message d'erreur)
Cherchez un peu avant poser votre question : Cours et Tutoriels PHP - FAQ PHP - PDO une soupe et au lit !.
Affichez votre code en couleurs : [CODE=php][/CODE] (bouton # de l'éditeur) et [C=php][/C]
Si tu lis l'anglais je t'invites à lire ma réponse complète ici
Sinon pour résumer :
- Vérifier les extension
- Vérifier le type mime du fichier via finfo
- Vérifier les propriété de l'image via getImageSize() . Si erreur c'est pas une image
- Re traiter l'image via imagecreatefromXXX() et createXXX(). Si erreur c'est pas une image. => permet en général de se débarrasser d'un fichier image avec entête valide mais embarquant du code malicieux.
- Rendre le dossier d'upload innaccessible depuis le web pour éviter l'appel d'un eventuel script malicieux qui aurait passé toutes les sécurités d'avant
Répondre avec citation
Partager