proteger un formulaire d'upload

proteger un formulaire d'upload - PHP - Programmation

Marsh Posté le 15-10-2011 à 00:01:57    

Bonsoir,
 
Je suis en train de coder un form d'upload tout simple.
Je souhaite bien entendu vérifier le type du fichier envoyé, histoire d'éviter qu'on me balance du php... Mettons que je n'accepte que les images.
 
Est-ce qu'on je peux me contenter de tester le mime type? (comme je sais que vérifier l'extension n'est pas une bonne idée...)

Reply

Marsh Posté le 15-10-2011 à 00:01:57   

Reply

Marsh Posté le 16-10-2011 à 17:37:59    

De mémoire, le type mime peut aussi être falsifié.
 
Pour les images, le seul et unique moyen de briser un fichier dangeureux, c'est de créer une image GD2 ayant le contenu du fichier.
 
Autrement dit, encapsuler le tout dans un conteneur d'image. Si ce n'est pas une image, GD2 te renverra tout simplement un false et tu pourras afficher un message d'erreur disant que la ressource n'est pas une image valide.
 


---------------
Directeur Technique (CTO)
Reply

Marsh Posté le 18-10-2011 à 19:50:20    

oui j'y avais pensé, faire un imagecreatefrom() pour les img et du content-disposition en attachment pour tout le reste (zip, etc) mais je me demandais si ça risquait pas de pomper trop de ressource sur le serveur.
j'ai bcp lu et effectivement c'est un peu la seule solution qui tienne la route.
merci

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed