Discussion :

[genova]

Bonjour, pour une application redistribuée libremente je souhaiterait inclure un système d'upload. J'aimerai savoir s'il y a des failles de sécurité particulières à éviter (type mime des fichiers ?) pour éviter aux utilisateurs du script d'uploader des fichiers intedit (par exemple php, etc ...).

Est ce que simplement vérifier l'extension suffit ? Merci d'avance

[siddh]

bonjour,
tester le type mime sera certainement plus fiable que l'extension

http://php.developpez.com/faq/?page=...filtretypemime

[genova]

Justement j'ai lu quelque part que le type mime était une porte ouverte aux failles de sécurité, il est possible de modifier le type d'un fichier non ?

[siddh]

moins facilement que de changer l'extension

si tu veux tester si c est une image par exemple, tu peux utiliser getimagesize

[genova]

Oui pour getimagesize je connaissais ca renvoie pas mal d'info utiles sur l'image afin d'être 100% sur de son extension ^^

Bon bah pour le reste on va faire confiance à l'extension et au type mime ^^

[siddh]

penses au si c'est ok pour toi

[Mr N.]

Quelqu'un aurait-il un pointeur sur un exemple de mime type falsifié qui pourrait faire des dégats ?

Par exemple si je mais un .exe pour une image png, c'est l'interpreteur d'image (navigateur, visionneuse, ...) qui va dire "format incorrect"... non ?

[siddh]

euh ce que j'ai deja vu passer c est un exemple d'attaque telnet

[trattos]

Est ce que simplement vérifier l'extension suffit ? Merci d'avance

Je crois que la meilleure chose serai d'avoir un antivirus écrit en PHP qui analyserai chaque fichier lol!

[jak0]

Si tu analyse le type mime, cest deja pas mal. Ensuite, si de toute maniere a chaque fois que le fichier est lancé, il est lancé avec le type mime que tu a autorisé, alors tout est ok...
Il faut juste que celui-ci ne soit pas accessible directement de l'exterieur.
En gros, que son adresse directe ne soit jamais visible...

[genova]

Que son adresse direct ne soit jamais visible ?

[Mr N.]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
/home/httpd/www/                  <-- repertoire web, accesible de l'exterieur
/home/httpd/data/                 <-- repertoire local, pas accessible

En placant tes upload à l'exterieur de ton espace web, il n'est pas possible d'y acceder directement...

[hisy]

Uploader en dehors de www ca implique un accès direct au serveur. C'est une bonne solution pour des applications intranet mais je crois pas qu'il y ait bcp d'hebergeur qui offre cet possibilité ...

[Mr N.]

Sur mes hébergements chez ovh je peux mettre mes documents en dehors de l'espace www sans problème, C'est vrai que chez free c'est un peu plus dur ^^

Sinon pas besoin d'accès direct au serveur. Ton script php d'upload fait un move_uploaded_file dans le repertoire /home/httpd/data et basta...

[genova]

Mes fichiers uploadé sont censés être disponible pour le download. Les membres uploadent des fichiers en gros et les autres peuvent les downloader donc solution non envisageable ^^

[Bidouille]

Dans ce cas, tu stockes les fichiers dans la base

[genova]

Effectivement ca peut etre une solution sécurisée, je vais surement prévoir ce cas aussi.

Malheuresement ca risque vite de faire prendre à la base de donnée une taille considérable. Mon script étant un script de forum ca risque de ne pas plaire aux utilisateurs :/