Discussion :

[DoUPod]

Bonjour,

Je cherche un moyen de vérifier une extension d'un fichier, pour n'autoriser que l'envoi de fichiers pdf, png ou jpg.

Pour cela je connais la méthode de "l'étude du nom de fichier", en regardant les 3 derniers caractères du nom de fichier, on peut obtenir l'extension. Mais, une personne mal intentionnée pourrait modifier cette extension, pour envoyer un fichier .exe en le faisant passer pour un .jpg par exemple.

Ce risque est-il un risque réel pour mon site ? pour mes visiteurs ?

Si oui, y a t il moyen de vérifier une extension de fichier en analysant le fichier, en étudiant son en-tête par exemple ? Cette méthode doit pouvoir être efficace à 100% mais je ne sais pas réellement la mettre en place. Le risque se situe plutôt au niveau des performances, ce test étant plus long qu'une étude d'un nom de fichier.

Merci

[Maxoo]

Non, c'est une bonne méthode.
Fais des tests de changement d'extensions et regarde si tu arrive à executer un exe renommer en jpg.

[ctrl+z]

Les pb de sécurité peuvent se poser de différentes manières mais si le fichier téléchargé est renommé par exemple « test.php/0.gif » il faut donc vérifier à l'aide des expressions régulières que le nom du fichier ne comporte pas de caractères spéciaux (slash/backslash)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
$exts = array('.jpg','.gif','.png');
$filename = $_FILES['fichier']['name'];
# test les caractères spéciaux
if (preg_match('#[\x00-\x1F\x7F\x9F/\\\\]#',$filename))
  echo "comporte des caractères spéciaux";
$ext = strrchr($filename,'.');
if (!in_array($ext,$exts))
echo "format non accepté ==> jpg/gif ou png";

[Maxoo]

Le mieux étant de renommer soit même les fichiers uploader, genre fichier_0001.jpg et de garder une correspondance entre le nom d'origine et le nom renommé.

[DoUPod]

Ok donc selon vous, il suffit de faire ces tests lors de l'upload d'un fichier :
- Tester l'extension
- Si png / jpg / pdf
-> Renommer le fichier et l'envoyer sur le serveur
- Sinon
-> Extension invalide

Ainsi je limite les risques ?

Merci

[cadoudal56]

Hello,

Personnellement c'est ce que je fais...
Je verifie si il s'agit d'un jpg, gif ou png.
Je renomme le fichier mais je lui donne la meme extension...

@+
cadou

[DoUPod]

Ok, je vais utiliser cette méthode. Merci