Discussion :

[TheOrY]

Bonjour a vous.

Je me suis lancé dans la conception d'un script d'upload de photo.

J'ai chercher sur le net plusieurs moyen de faire la securité de mon site. notament avec la librairie d'image...

Mais ce matin en me réveillant j'ai eut une idée génial, Quand on ouvre une image avec le bloc note, il nous sort un texte absolument incompréhensible.
Et moi, depuis mon script php je voudrais ouvrir mon image en temps que texte

et lancé une recherche sur ce résultat.

je m'explique, grace à mon script je vais ouvrir mon image en texte le résultat sera contenue dans $contenu_image.

Et ensuite je lance une recherche sur $contenu_image si elle contient une chaine de caractère tel que : <html> ou <?php ou ?> ou <? etc... je suprime l'image car elle sera considéré comme dangereuse.


Comment faire ?

Cordialement

[julien.63]

salut,
je pense que tu peux l'ouvrir comme un fichier texte avec les fontions fopen ou file_get_contents

[TheOrY]

j'ai essayer ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$contenu_image = file_get_contents('photo/$chaine"."$extension');
 
preg_match('#<?php(.+) ?>#isU',$contenu_image,$sortie);
echo $sortie ;

mais le script ne me trouve rien

[julp]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$contenu_image = file_get_contents('photo/$chaine"."$extension');

Il n'y a pas des (double) quotes de trop là ?

Sinon quel intérêt à faire cette vérification précise : aucun ! Le serveur est configuré pour interprété des fichiers précis sur, généralement, la base de leur extension. Le serveur ne cherche pas à tout interpréter par rapport à la présence de balises PHP (imaginez les performances). En réalité c'est l'inverse, c'est l'extension de votre fichier qui le fera passer par l'interpréteur PHP, et ce, qu'il ait des balises PHP ou non.

Mais ça dépendra de la configuration de votre serveur ...

[TheOrY]

Peut-être mais je me suis déjà fait piratez, donc maintenant je préfère être très vigilants ....

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$contenu_image = file_get_contents('photo/$fname');
 
preg_match('#<?php(.+) ?>#isU',$contenu_image,$sortie);
echo $sortie ;

ça marche toujours pas

edit : j'ai essayer de faire un echo sur $contenu_image ça marche pas, même en utilisant fopen();

[julp]

Peut-être mais je me suis déjà fait piratez, donc maintenant je préfère être très vigilants ....

Ce n'est pas de ce côté qu'il faut chercher à "sécuriser". Etait-ce à cause de fichiers images au moins ? (seule une inclusion exécuterait ce code PHP ou alors il faut revoir la configuration de votre serveur)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$contenu_image = file_get_contents('photo/$fname');
 
preg_match('#<?php(.+) ?>#isU',$contenu_image,$sortie);
echo $sortie ;

Déjà votre "protection" ne servirait pas à grand chose puisqu'il existe plusieurs types de balises PHP (longues, courtes, <script ...>, asp). Mais si vous y tenez et au lieu de dire ça ne marche pas il faudrait débugger et regarder ce que contient chaque variable (sans oublier de développer avec une valeur d'au moins E_ALL pour error_reporting).

[TheOrY]

Ouais, c'est a causes des fichiers image, puisque mon site était un site d'upload d'image.

Ensuite désoler, mais je n'est pas vos connaiance en php et je suis amateur, donc désoler de vous posez ce genre de questions, mais j'avoue qu'une aide de votre part serais la bienvenue.

Ps : je ne sais pas débogué php donc ne m'en veuillez pas...