Sécuriser l'upload de certains types de fic

4 réponses

Auteur	Message
mirage \| Modérateur Inscrit le : 04/05/2005	# Le 12/02/2006 à 18:56 B'soir Je suis entrain de donner un coup de neuf à Loofok.com et je souhaitais mettre en place l'upload de fichiers vidéos. Le problème est au niveau de la sécurité, j'ai pas envie de me faire hacker à cause de ce genre de trucs donc je me demandais comment peut-on sécuriser au maximum l'upload de fichiers autre que des images ? Je pensais : - vérifier le content-type renvoyé lors de l'upload - vérifier l'extension du fichier (même si je doute réellement de son efficacité) - placer les vidéos dans un répertoire où je désactive l'execution de php pour éviter de déclencher quelque chose... Avez-vous des idées ? Sinon, comment gérer l'upload de fichiers lourds ? Faut-il mieux passer par un upload php via FTP ? Merci par avance pour vos réponses
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 12/02/2006 à 19:14 - vérifier l'extension du fichier (même si je doute réellement de son efficacité) Detrompe toi. Ce qu'il faut surtout éviter, c'est qu'Apache "execute" le fichier... et donc faire gaffe aux scripts PHP / PERL / Python. Pour le reste... même si on t'envoit un gros virus dans un fichier ".avi", tu t'en fous : il ne sera jamais exécuté (sauf si tu décides de l'éxécuter... mais ce ne serait franchement pas malin). Pour l'upload c'est HTTP ou FTP. Dans le cas du FTP, PHP n'intervient à aucun moment. daevel : infogérance et conseil \|\| moi
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 12/02/2006 à 19:15 salut, Dans le cas d'une image on peut rajouter GetImageSize qui vérifie que le fichier est bien une image. Je ne sais pas si ca existe pour une vidéo. En tout cas, c'est pas bete du tout de desactiver le php sur le repertoire d'upload ! J'y avais po pensé, mais je vais le faire aussi ! Voila, ca t'aide pas du tout ce que je raconte, mais bon Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
mirage \| Vincent Modérateur Inscrit le : 04/05/2005	# Le 12/02/2006 à 19:57 D'ac Bool, merci. Tu as une solution sure pour récupérer l'extension du fichier (autre qu'une solution standard que l'on trouve partout - comme ça par exemple) ? Devtribu, j'ai pas trouvé d'équivalent à GetImageSize, c'est bien dommage car c'est une fonction bien pratique pour les images...
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 12/02/2006 à 20:04 pour l'extension je récupère la position du dernier point avec strrpos() et je compare les dernières lettres ... il y a le cas du jpeg et jpg qu'il ne faut pas oublier de traiter ^^ Pour récuperer la taille d'une vidéo, avec php directement je pense pas que ca va être possible ... mais avec un cgi avec bash+imageMagick (pas sur) ca doit être possible je pense ... @+ Jean-Philippe

Auteur

Message

Inscrit le : 04/05/2005

# Le 12/02/2006 à 18:56

B'soir

Je suis entrain de donner un coup de neuf à Loofok.com et je souhaitais mettre en place l'upload de fichiers vidéos.

Le problème est au niveau de la sécurité, j'ai pas envie de me faire hacker à cause de ce genre de trucs donc je me demandais comment peut-on sécuriser au maximum l'upload de fichiers autre que des images ?

Je pensais :
- vérifier le content-type renvoyé lors de l'upload
- vérifier l'extension du fichier (même si je doute réellement de son efficacité)
- placer les vidéos dans un répertoire où je désactive l'execution de php pour éviter de déclencher quelque chose...

Avez-vous des idées ?

Sinon, comment gérer l'upload de fichiers lourds ? Faut-il mieux passer par un upload php via FTP ?

Merci par avance pour vos réponses

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 12/02/2006 à 19:14

- vérifier l'extension du fichier (même si je doute réellement de son efficacité)

Detrompe toi. Ce qu'il faut surtout éviter, c'est qu'Apache "execute" le fichier... et donc faire gaffe aux scripts PHP / PERL / Python.

Pour le reste... même si on t'envoit un gros virus dans un fichier ".avi", tu t'en fous : il ne sera jamais exécuté (sauf si tu décides de l'éxécuter... mais ce ne serait franchement pas malin).

Pour l'upload c'est HTTP ou FTP. Dans le cas du FTP, PHP n'intervient à aucun moment.

daevel : infogérance et conseil || moi

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 12/02/2006 à 19:15

salut,

Dans le cas d'une image on peut rajouter GetImageSize qui vérifie que le fichier est bien une image. Je ne sais pas si ca existe pour une vidéo.

En tout cas, c'est pas bete du tout de desactiver le php sur le repertoire d'upload ! J'y avais po pensé, mais je vais le faire aussi !

Voila, ca t'aide pas du tout ce que je raconte, mais bon

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

mirage | Vincent
Modérateur

Inscrit le : 04/05/2005

# Le 12/02/2006 à 19:57

D'ac Bool, merci. Tu as une solution sure pour récupérer l'extension du fichier (autre qu'une solution standard que l'on trouve partout - comme ça par exemple) ?

Devtribu, j'ai pas trouvé d'équivalent à GetImageSize, c'est bien dommage car c'est une fonction bien pratique pour les images...

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 12/02/2006 à 20:04

pour l'extension je récupère la position du dernier point avec strrpos() et je compare les dernières lettres ... il y a le cas du jpeg et jpg qu'il ne faut pas oublier de traiter ^^

Pour récuperer la taille d'une vidéo, avec php directement je pense pas que ca va être possible ... mais avec un cgi avec bash+imageMagick (pas sur) ca doit être possible je pense ...

@+ Jean-Philippe

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.