Upload en PHP et extensions

**Nuclear** · 15/12/2009, 18h43

Bonjour à tous,

Je code actuellement un module d'upload pour mon site et je dois aussi me préoccuper de la sécurité.
Ainsi, j'ai un fichier .htaccess qui empêche l'exécution de code PHP dans mon dossier d'upload et je vérifie le type MIME du fichier, pensez-vous que ce soit suffisant ?

Ensuite, il ne faut pas que mes fichiers aient une extension, j'ai cette ligne de code qui restreint l'upload à certaines extensions, mais je ne sais pas comment faire pour forcer une absence d'extension, est-ce possible ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$extensions_ok = array('png');

Cordialement,
Nuclear

**Celira** · 16/12/2009, 10h22

Tout dépend du code que tu utilises pour tester l'extension, mais a priori il suffirait de vérifier que l'extension est vide au lieu d'être dans la liste des extensions autorisées...

**Nuclear** · 17/12/2009, 18h41

Merci de ta réponse !
Je suis désolé, je ne maîtrise pas bien le PHP, aussi je ne sais pas comment vérifier que l'extension est vide, serait-il possible de m'aider ?

Voici le code concernant la vérification d'extension :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if( !in_array( substr(strrchr($_FILES['fichier']['name'], '.'), 1), $extensions_ok ) )
{
$erreur = 'Veuillez sélectionner un fichier ayant une extension valide !';
}

Merci d'avance, et désolé de galérer sur du code qui doit être extrêmement simple ^^

**Celira** · 18/12/2009, 10h11

Tu peux utiliser la fonction pathinfo qui décompose un chemin vers un fichier, et récupère entre autres l'extension.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
$pathInfos = pathinfo($_FILES['fichier']['name']);
if (empty($pathInfos['extension']))
{
$erreur = 'extension vide !';
}
elseif (!in_array($pathInfos['extension'], $extensions_ok ) )
{
$erreur = 'Veuillez sélectionner un fichier ayant une extension valide !';
}
else
{
//extension rempile et dans la liste
}