phpBB-fr.com

[Gryffondor]

Sur leur site un visiteur propose ceci:

Bonjour a vous tous,
j'ai deja subit une attaque dans le passé car les fichier de type .php.ext fonctionais et php les executais.

pour resoudre ce probleme j'ai du faire une cimple condition toute bête !

Voila:

if(preg_match('#php#isU',$fichier)){ // Si le fichier comporte .php.jext, ont renome le php en 484 ( a vous de choisir )
$fichier = str_replace('php','484',$fichier);
}

J'avais pensé à sa moi aussi. Mais j'ai l'impression que cette solution est outre-passable.
Sinon moi j'aime pas les expressions régulières (mal de tête ). Euh quelqu'un aurait t-il le code pour faire plus simple, c'est à dire n'autoriser que les noms de fichier comportant au maximum qu'un seul "." (point)?

[Afilnit]

Bonjour,

Je voudrais faire un test.

Le code que greg a donné

if(!@getimagesize($_FILES['fichier']['tmp_name']))
{ echo "Seul l'upload de fichiers image est autorisé"; exit;}

Où dois-je le mettre ?

Voici mes fichiers : download.php, index.php, resize.php

[greg18100]

Bonjour

@Afilnit Pour te dire où le mettre c'est difficile à la seule vue du nom du fichier, il faudrait voir le code, mais en principe il vaut mieux le mettre après la sélection des extensions autorisées, style une ligne qui peut ressembler à ça :

Code: Tout sélectionner

 if(substr($nom_file, -4) == '.jpg' OR substr($nom_file, -4) == '.JPG' OR substr($nom_file, -4) == '.gif' OR substr($nom_file, -4) == '.GIF') {
if(!@getimagesize($_FILES['fichier']['tmp_name']))
{ echo "Vous avez tenté d'uploader un fichier qui n'est pas une image."; exit;}

puis le traitement des infos si c'est bien une image ($nom_file étant le nom de la variable représentant le nom de fichier, surement un autre nom dans ton script)

Regarde aussi le lien donné plus haut par Oyo, il y a plein d'infos sur la sécurité.

Tu connais un peu le PHP ou bien tu mets juste en ligne des scripts tous faits ?

[Afilnit]

Salut,

Je préfère dire que je mets en ligne. Je comprends plus ou moins ce que veulent dire les trucs, mais je ne connais rien. Donc non je ne connais pas le php.

Je te donne le code, comme ça tu sais me dire facilement où je dois rajouter ce qu'il faut :

-code édité par Morgyanne-

[Dakin Quelia]

La balise citation n'est pas faite pour du code. Utilise plutôt la balise Code.

Si ton code dépasse 20 lignes, il vaudrait mieux que tu mettes le lien vers le fichier TXT qui contient le code.

[Afilnit]

Ok. Par contre, j'ai laissé comme ça, parce que j'ai mis en plus petit pour que ça prenne moins de place, et les balises size ne prennent pas dans les balises code, contrairement au quote.

greg, tu saurais me dire où je dois rajouter ça ?

Je précise aussi que sur un autre support, on m'a dit ceci :

Tu fais une expression régulière qui vérifie qu'il n'y ai qu'un "." dans le fichier si c'est le cas tu fais les autres vérifications et si le fichier est bon tu l'accepte sinon tu ne l'accepte pas et tu fais ce que tu veux...

Qu'est-ce que ça veut dire "faire une expression régulière" ? Ce serait exactement ce qu'il me faudrait, le fait qu'on ne puisse pas mettre plus qu'un point dans l'extension.

[greg18100]

http://www.siteduzero.com/tuto-3-168-1-les-expressions-regulieres-partie-1-2.html

D'ailleurs je ne saurais trop te conseiller de faire le tuto d'apprentissage du PHP de cet excellent site parce que déjà on ne sait pas si le script que tu as récupéré est open source ou non, et qu'on ne peut pas te faire le codage de ton projet surtout en rajoutant des bouts de code ici ou là.

[Morgyanne]

Salut Afilnit,

Le nombre de ligne de code inséré dans votre message est trop important. Veuillez fournir un lien vers où télécharger le(s) fichier(s), cela aura le mérite d'être plus pratique .
20 lignes de code max.

Si votre message fait référence à une ligne ou à un fichier de phpbb, ouvrez-le avec le bloc note et enregistrez-le dans un fichier texte, envoyez ce fichier texte sur votre FTP et donnez-nous un lien pour que nous puissions l'examiner.
Ne copiez pas tout votre fichier dans votre post

Que ce soit en balise quote ou code, que tu réduises la taille ou pas, ton code dépasse toujours le maximum de lignes autorisée

@+
Morgyanne

[Afilnit]

Ok Morgyanne.

http://www.siteduzero.com/tuto-3-168-1-les-expressions-regulieres-partie-1-2.html

D'ailleurs je ne saurais trop te conseiller de faire le tuto d'apprentissage du PHP de cet excellent site parce que déjà on ne sait pas si le script que tu as récupéré est open source ou non, et qu'on ne peut pas te faire le codage de ton projet surtout en rajoutant des bouts de code ici ou là.

J'ai regardé, mais je ne trouve pas dans ce tuto le moyen de sécuriser l'uploader.
Tu ne saurais pas juste me donner le code modifié avec l'ajout de la sécurisation ? Cela me ferait vraiment très plaisir.

Les codes sont là : http://www.belforum.net/img/codes

[Gryffondor]

Perso, ceci relève du coding et plus de la discussion générale...
Où est l'érreur?

Ok je sort

[lolovoisin]

Sinon c'est un peu mieux qu'au début par contre ce texte:

Nous sommes consterné : un piratage s'est produit sur notre système d'hébergement. Notre but est d'offrir un espace d'hébergement d'images simple et facile d'utilisation. Voilà qu'une pourriture du web fout tout le travail en l'air. Nous sommes réellement désolé en ce qui concerne la perte des images. Nous vous conseillons de ne plus en charger tant que nous n'avons pas résolu le problème (tant que ce message apparaît). Nous devrions bientôt avoir maximisé la sécurité afin de rétablir le service. Encore toutes nos excuses.

ben je trouve que ça fait gamin et pas du tout pro

[Afilnit]

Sans doute. De toute façon, il n'y a que moi qui passe sur la page, donc bon...

Sinon, s'il-vous-plaît, une soluce

[greg18100]

J'ai fait ça vite fait, en principe on ne peut plus envoyer de fichier qui ne soit pas une image, si on envoie un fichier nommé essai.php.jpg et que c'est une image cela passe, si par contre il s'agit d'un fichier php c'est rejeté.

J'ai modifié légèrement le nom de fichier final car avant il conservait le nom de fichier initial donc la double extension lorsqu'il y en avait une, là il ne conserve que les 4 derniers caractères de l'extension donc .jpg ou .gif ou .png

A toi de tester dans tous les sens et de mettre les messages qui vont bien, ceci est juste un mini coup de main mais je ne peux pas assurer que la sécurité est béton pour tout le script ( et donc pas tenu responsable au cas où il subsisterait des failles ), disons qu'elle est améliorée

http://www.forumjeux.net/index.txt

[Afilnit]

T'as dû faire une petite gaffe, parce que j'ai ça sur ta page txt :

http://belforum.net/img/depot/e0a9249e072700f0835902b448313910ert.jpg

[greg18100]

Comment ça ?

Le lien mène bien au code du fichier index ou alors je n'ai pas compris ta question ?