téléchargerment : image abimée

**koKoTis** · 29/09/2008, 08h50

Bonjour, j'ai un script pho qui redimentione une image puis déclanche son téléchargement:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
if(isset($_FILES['photo']))
{ 
     $dossier = 'imgs/';
     $fichier = basename($_FILES['photo']['name']);
     if(move_uploaded_file($_FILES['photo']['tmp_name'], $dossier . $fichier)) //Si la fonction renvoie TRUE, c'est que ça a fonctionné...
     {
          echo 'Upload effectué avec succès !<br>';
           exec("mogrify -resize 640x640 imgs/".$fichier);
              echo ("<meta http-equiv='Refresh' content='2;URL=telecharg.php?jpg=imgs/$fichier'>");
 
     }
     else //Sinon (la fonction renvoie FALSE).
     {
          echo 'Echec de l\'upload !';
           echo ("<meta http-equiv='Refresh' content='2;URL=index.php'>");
     }
}
?>

C'est cette ligne qui lance le téléchargement:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo ("<meta http-equiv='Refresh' content='2;URL=telecharg.php?jpg=imgs/$fichier'>");

En passant au script suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?PHP
 
if(!isset($_GET['jpg'])) 
    {
       header('location:erreur.php');
    }
else
    {
       $file = $_GET['jpg'];
    }
header("Content-Type: image/jpeg"); 
header("Content-Disposition: attachment; filename=".$file); 
 
?>

Le téléchargement ce déclanche bien, il m'enregistre un fichier portant le nom est l'extenssion de l'image, mais aucun apercu n'est disponibkle pour l'image, donc elle est corompu, voyer vous ce qui cloche dans mon code ,

**leodi** · 29/09/2008, 10h28

Par cette methode il faudrait écrire le contenu du fichier de telle manière :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
header("Content-Type: image/jpeg"); 
header("Content-Disposition: attachment; filename=".$file); 
readfile($file);
exit();

Attention à la sécurité !

tonsite.com/download.php?jpg=mdp_bdd.php est un exemple parmis tant d'autres. En effet readfile ouvre un fichier sur ton serveur, et lit donc les sources en php.

**koKoTis** · 29/09/2008, 10h41

Bonjour et merci beaucoup

c'est parfait

Maintenant il faudrait que je supprime l'image, mais seulement une foi qu'elle a été télécharger, c'est possible ?

**koKoTis** · 29/09/2008, 10h42

Envoyé par leodi

Attention à la sécurité !

Que veut tu dire ?

Quel sont les risque que j'encoure ?

**koKoTis** · 29/09/2008, 10h48

Donc j'ai rajouter un redierction ver un script de suppression dans le script de téléchargemlent:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?PHP
 
if(!isset($_GET['jpg'])) 
    {
       header('location:erreur.php');
    }
else
    {
       $file = $_GET['jpg'];
    }
header("Content-Type: image/jpeg"); 
header("Content-Disposition: attachment; filename=".$file); 
readfile($file);
exit();
 
 
echo ("<meta http-equiv='Refresh' content='2;URL=suppr.php?action=supprimer&fichier=$fichier'>");
 
?>

Voici le script de suppression:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php
if ($_GET['action'] == 'supprimer') {
unlink($_GET['fichier']);
}
echo ("<meta http-equiv='Refresh' content='2;URL=suppr_mp3.php'>");
 
?>

Mais ce ne marche pas, pouriez vous m'aider ?

**leodi** · 29/09/2008, 12h22

As tu un message d'erreur ?
Et pour la sécurité, en fait readfile permet de lire la source des fichiers, donc si quelqu'un passe en parametre

url?image=index.php

Il pourra télécharger ton ficher index.php !

Et pour le unlink, si il procède le même manière, il pourra supprimer tout ton site.
Donc pense a une method pour restreindre ca. (vérification de l'extention, du chemin du fichier...)

Sinon pour la suppression qui ne fonctionne pas, fais le unlink directement apres le téléchargement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
header("Content-Type: image/jpeg"); 
header("Content-Disposition: attachment; filename=".$file); 
readfile($file);
unlink($file);
exit();

**koKoTis** · 29/09/2008, 12h27

Merci encore pour ses informations

Donc maintenant pour la suppression c'est bon, donc avant de supprimer l'image, comment tester s'il s'agit bien de l'image qui vient d'être uploader ?

**leodi** · 29/09/2008, 12h46

Lors de l'upload tu peux par exemple mettre le chemin en session, en vérifiant bien que celui ci soit valide. Cela permettrait aussi d'éviter d'avoir a mettre le nom de l'image en paramètre GET. De cette façon l'utilisateur ne pourra pas bidouiller a son grès.
Bon courage,
Paul

**koKoTis** · 29/09/2008, 12h47

merci encore

Mais je ne sais pas comment faire, pourrai tu me donner un exemple ?

**leodi** · 29/09/2008, 12h53

Le mieux est de lire des articles consacrés aux sessions, pour que tu saches bien comment cela fonctionne :

http://php.developpez.com/cours/?page=securite#sessions

Bon courage.
Paul

**koKoTis** · 29/09/2008, 12h58

ok j'étudirai ca plu tart, mais pour l'instant je voudrai juste tester si le nom du fichier a supprimer et bien celui de l'image uploder tu peut me monter un exemple ?

**leodi** · 29/09/2008, 13h15

Lors de l'upload, tu stoques le contenu de $fichier en session

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['upload_fichier'] = $fichier;

Et lorsqu'il veut la télécharger, tu fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
if ($_SESSION['upload_fichier'] == $_GET['file'])
{
//go
}
else
  die('Erreur');

Avec les session_start(); aux bon endroits.

Je te conseille vraiment de lire des articles sur les sessions avant de continuer. Sinon tu vas rencontrer un bon nombre de problèmes.

**koKoTis** · 29/09/2008, 13h21

j'ai donc modifier deux script:

le premier:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php


if(isset($_FILES['photo']))
{ 
     $dossier = 'imgs/';
     $fichier = basename($_FILES['photo']['name']);
     if(move_uploaded_file($_FILES['photo']['tmp_name'], $dossier . $fichier)) //Si la fonction renvoie TRUE, c'est que ça a fonctionné...
     {
         $_SESSION['upload_fichier'] = $fichier;
          echo 'Upload effectué avec succès !<br>';
           exec("mogrify -resize 640x640 imgs/".$fichier);
              echo ("<meta http-equiv='Refresh' content='2;URL=telecharg_suppr.php?jpg=imgs/$fichier'>");


     }
     else //Sinon (la fonction renvoie FALSE).
     {
          echo 'Echec de l\'upload !';
           echo ("<meta http-equiv='Refresh' content='2;URL=index.php'>");
     }
}


?>

et le deuxième:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?PHP
if ($_SESSION['upload_fichier'] == $_GET['file'])
{
if(!isset($_GET['jpg'])) 
    {
       header('location:erreur.php');
    }
else
    {
       $file = $_GET['jpg'];
    }
header("Content-Type: image/jpeg"); 
header("Content-Disposition: attachment; filename=".$file); 
readfile($file);
unlink($file);
exit();

}
else
  die('Erreur');

?>

Mais ce renvoi ue erreur, bon je vai lire la doc, mais en attendant si tu peut me dire ce qui ne va pas ?

**koKoTis** · 29/09/2008, 13h25

J'ai ajouter les session start:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php


if(isset($_FILES['photo']))
{ 
     $dossier = 'imgs/';
     $fichier = basename($_FILES['photo']['name']);
     if(move_uploaded_file($_FILES['photo']['tmp_name'], $dossier . $fichier)) //Si la fonction renvoie TRUE, c'est que ça a fonctionné...
     {
         session_start();
         $_SESSION['upload_fichier'] = $fichier;
          echo 'Upload effectué avec succès !<br>';
           exec("mogrify -resize 640x640 imgs/".$fichier);
              echo ("<meta http-equiv='Refresh' content='2;URL=telecharg_suppr.php?jpg=imgs/$fichier'>");


     }
     else //Sinon (la fonction renvoie FALSE).
     {
          echo 'Echec de l\'upload !';
           echo ("<meta http-equiv='Refresh' content='2;URL=index.php'>");
     }
}


?>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?PHP
session_start();
if ($_SESSION['upload_fichier'] == $_GET['file'])
{
if(!isset($_GET['jpg'])) 
    {
       header('location:erreur.php');
    }
else
    {
       $file = $_GET['jpg'];
    }
header("Content-Type: image/jpeg"); 
header("Content-Disposition: attachment; filename=".$file); 
readfile($file);
unlink($file);
exit();

}
else
  die('Erreur');

?>

Maitenant j'ai cette erreur:
Notice: Undefined index: file in

z:\kookatix_interface\interface\kookatix_www\scripting\redimentionne image\telecharg_suppr.php on line 3

**leodi** · 29/09/2008, 13h26

Regarde bien le code.
J'ai mis $_GET['file'] pour l'exemple. C'est a toi de l'adapter en fonction de ton code

De plus, il manque (probablement) les session_start();
Tu dois les mettre au début de chaque fichier afin d'initialiser les sessions. Tout est expliqué dans la doc.

**koKoTis** · 29/09/2008, 13h29

pour les ession start je vanai justement de les ajouter donc j'ai modifier ce qui est en rouge:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?PHP
session_start();
if ($_SESSION['upload_fichier'] == $_GET['jpg'])
{

if(!isset($_GET['jpg'])) 
    {
       header('location:erreur.php');
    }
else
    {
       $file = $_GET['jpg'];
    }
header("Content-Type: image/jpeg"); 
header("Content-Disposition: attachment; filename=".$file); 
readfile($file);
unlink($file);
exit();

}
else
  die('Erreur');

?>

mais le code renvoi tout le même "Erreur"

**leodi** · 29/09/2008, 13h33

As tu rajouté les session_start dans les deux fichiers ?
Fais un print_r($_SESSION['upload_fichier']); et print_r($_GET['jpg']);

Mais sinon, tu as moyens de tout faire en une page (l'upload, le redimensionnement, le téléchargement, et la suppression).

**koKoTis** · 29/09/2008, 13h35

Envoyé par leodi

As tu rajouté les session_start dans les deux fichiers ?

Oui

Envoyé par leodi

Mais sinon, tu as moyens de tout faire en une page (l'upload, le redimensionnement, le téléchargement, et la suppression).

Et il n'y aurai plus de problème de sécurité ?

**koKoTis** · 29/09/2008, 13h39

ah j'ai trouver grace au print, il falait que je fasse comme ca:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['upload_fichier'] = "imgs/".$fichier;

**leodi** · 29/09/2008, 13h42

Envoyé par koKoTis

Et il n'y aurai plus de problème de sécurité ?

Disons que le fait d'avoir des redirection, si l'utilisateur ferme son navigateur, l'image n'est pas supprimée, et il peut changer toutes les variables en GET.
Le fait de tout avoir en une page est plus sécurisé, mais ca ne le rend pas entièrement fiable pour autant.
A toi de t'amuser a modifier les variables en GET, uploader des fichiers exe, php ... pour tester la stabilité de ton script.

téléchargerment : image abimée

Langage PHP

Discussions similaires

Partager

Partager