Forum d'entraide PHPFrance

Bonjour à tous,

je débute en php et sql et j'ai fait un petit module qui fonctionne correctement, même si j'ai dû mélanger html et php pour arriver à mes fins.

Cependant, je suis certain que ce module est une véritable passoire en matière de sécurité.

Par exemple, j'ai un formulaire qui permet le chargement d'images. J'ai testé que si je renommais un fichier php en jpg, il était bien téléchargé ... donc après, suffit de le renommer (je ne sais pas comment, mais ca doit se faire) et il pourra être exécuté et faire les dégat qu'on veut.

Le problème, c'est que je ne maitrise pas assez PHP pour imaginer le mal qui peut être fait .

Bien sur, je ne demande pas qu'on refasse mon code à ma place, mais qu'on regarde les principales failles, qu'on m'explique comment on peut utiliser les utiliser et comment y remédier. Après, à moi d'appliquer la (les) leçons.

Aussi, avant de l'installer sur mon site, je voulais faire appel à vous. Y aurait-il quelqu'un d'un peu disponible à qui je pourrais envoyer mon code et qui me donnerait quelques conseils pour le sécuriser.

Merci d'avance

Bonne journée à tous

Pour être sûr que le fichier est une image tu peux faire un getimagesize() sur le fichier.
Si la fonction te renvoies des dimensions, c'est que le fichier est une image (donc pas de pb de sécurité)

Pour les conseils, un bon point de départ (beaucoup de lecture en perspective ) http://www.phpsecure.info/v2/zone/pArticle

Pour être sûr que le fichier est une image tu peux faire un getimagesize() sur le fichier.
Si la fonction te renvoies des dimensions, c'est que le fichier est une image (donc pas de pb de sécurité)

Merci,

je vais regarder dans cette direction ... mais question bête de néophite ... est-ce que la pseudo image n'est pas déjà téléchargée quand le tets est effectué? Donc ce serait déjà trop tard?

Je veux bien essayer de voir ton code, tu n'as qu'à me l'envoyer par MP, j'y jetterais un œil.

Un énorme merci

C'est fait

Bonjour et mes meilleurs voeux à tous.

Pour continuer dans mes tentatives de sécurisation de mon code, j'ai deux questions à poser :

- comment vérifier qu'une page (php ou autre) a bien été appelée à partir d'une url définie?
- est-il possible, à partir d'une page html contenant éventuellement un script, de renommer un fichier sur un serveur, la page se trouvant elle aussi sur le même serveur.

Merci par avance de votre aide

Bien cordialement

Philippe

Bonjour et mes meilleurs voeux à tous.

Pour continuer dans mes tentatives de sécurisation de mon code, j'ai deux questions à poser :

- comment vérifier qu'une page (php ou autre) a bien été appelée à partir d'une url définie?
- est-il possible, à partir d'une page html contenant éventuellement un script, de renommer un fichier sur un serveur, la page se trouvant elle aussi sur le même serveur.

Merci par avance de votre aide

Bien cordialement

Philippe

Il y a les referrer pour vérifier la provenance, mais qui peuvent être falsifiés.
Pour renommer un fichier sur le serveur a partir d'un page html, je te réponds non, a moins d'utiliser un script javascript qui va appeller un fichier php qui lui renommera le fichier.
@++

- comment vérifier qu'une page (php ou autre) a bien été appelée à partir d'une url définie?

Fais un fichier contenant <?php echo phpinfo(); ?> qui te donnera la liste des variables $_SERVER que tu peux utiliser pour vérifier ceci.

- est-il possible, à partir d'une page html contenant éventuellement un script, de renommer un fichier sur un serveur, la page se trouvant elle aussi sur le même serveur.

Par php, c'est possible avec la fonction rename().

Mais par contre, je ne vois pas forcément les intérêts pour la sécurisation, avais-tu une idée en tête ?
Par exemple, pourquoi est-ce important pour toi de savoir si un script a été appelé avec une certaine url ?

Merci de votre intéret.

j'ai une page "formulaire" qui appelle une page "traitement". Je veux être certain que la page "traitement" du site a bien été appelée par la page "formulaire" du même site et non par une autre. En effet, je me suis aperçu qu'à partir du "formulaire" sur mon ordi en local (et donc que je pouvais modifier), je pouvais appeler la page "traitement" de mon site et ainsi passer éventuellement outre certaines sécurités qui sont traitées par la page "formulaire".

Mon script permet de charger des images et ou des pages html. Je voudrais être certain qu'on ne puisse pas (facilement) redonner son extension php (donc le rendre exécutable) à un fichier ayant réussi à être téléchargé malgré mes sécurités.

passer éventuellement outre certaines sécurités qui sont traitées par la page "formulaire".

Les seules sécurités que tu puisses prendre en compte sont les sécurités prises sur ta page, si tu as fait des vérifications sur la page de ton formulaire, tu dois soit les enregistrer (session, bdd), soit les refaire.
Il y aurait éventuellement des techniques pour t'assurer que l'utilisateur est bien passé par ton formulaire, mais je préfère te conseiller de revoir ta sécurité plutôt que de te proposer un erzast de solution…

Mon script permet de charger des images et ou des pages html. Je voudrais être certain qu'on ne puisse pas (facilement) redonner son extension php (donc le rendre exécutable) à un fichier ayant réussi à être téléchargé malgré mes sécurités.

Tout ce qui est sur ton serveur est contrôlé par toi, c'est à toi d'exclure les extensions php, mais une fois chargé sur ton serveur, l'utilisateur n'a plus de raison d'avoir aucun contrôle sur les fichiers qu'il a uploadé (sauf faille de sécurité chez ton hébergeur ou sur ton site…)