Discussion :

[michel71]

Bonjour,

Je suis en train de créer un script upload pour des images
Après avoir prévu les vérifications classiques (type, taille, renommer le fichier, vérifié la double extension) je me pose la question suivante

Si un petit rigolo s'amuse en envoyer une image dont le fichier contient un code malicieux (je parle du fichier qui permet l'affichage de l'image)
Comment je peux le vérifier

Merci

[Celira]

Comment vas-tu stocker et afficher l'image ? Tu l’enregistres dans un dossier spécifique sur le serveur et tu l'affiches directement via une balise img ? En base et tu as un script display_image.php ?

[grunk]

Si tu lis l'anglais je t'invites à lire ma réponse complète ici

Sinon pour résumer :

- Vérifier les extension
- Vérifier le type mime du fichier via finfo
- Vérifier les propriété de l'image via getImageSize() . Si erreur c'est pas une image
- Re traiter l'image via imagecreatefromXXX() et createXXX(). Si erreur c'est pas une image. => permet en général de se débarrasser d'un fichier image avec entête valide mais embarquant du code malicieux.
- Rendre le dossier d'upload innaccessible depuis le web pour éviter l'appel d'un eventuel script malicieux qui aurait passé toutes les sécurités d'avant