[PhP] Forcer le download. Résolu/Fermé

Question

Bonjour à tous.Je voulais savoir comment on fait en PhP pour forcer  l'utilisateur à télécharger un document (mon cas un PDF).Que lorsque l'on clic sur le lien, on ait l'invite de télécharegement qui s'affiche.Je sais que c'est avec des hearders mais je ne me souviens plus bien...Merci à vous !

P-Y · Accepted Answer

Le script mentionné ci-dessus est TRÈS INSÉCURE

Si par exemple on se trouve sur un serveur linux, il suffit de lui passer, par exemple,la valeur "../../../../../../etc/passwd" pour downloader le fichier /etc/passwd... On peut virtuellement accéder à n'importe lequel fichier du serveur à l'aide de ce script.

Utiliser plutot ce script, qui utilise basename() afin de se limiter aux fichiers du répertoire local, par exemple.

<?php
$file=$_GET['file'];

if (($file != "") && (file_exists("./" . basename($file))))
{
        $size = filesize("./" . basename($file));
        header("Content-Type: application/force-download; name=\"" . basename($file) . "\"");
        header("Content-Transfer-Encoding: binary");
        header("Content-Length: $size");
        header("Content-Disposition: attachment; filename=\"" . basename($file) . "\"");
        header("Expires: 0");
        header("Cache-Control: no-cache, must-revalidate");
        header("Pragma: no-cache");
        readfile("./" . basename($file));
        exit();
}
?>

kilian · Answer

Je crois que c\'est une chose qui ne concerne que le navigateur en fonction du type MIME du document qu\'on lui propose.Si par exemple un serveur lui envoie un document possédant le type MIME d\'un pdf et que le navigateur inclut la lecture des pdf alors celui -ci le lira directement, par contre pour un type MIME qu\'il ne sait pas traiter il proposera le téléchargement.Une solution pour pallier à ça serait de donner le type MIME application/octet-stream (grâce à la fonction header justement):header('Content-Type: application/octet-stream')  puis d\'envoyer le pdf mais il faut que la personne en face sache comment l\'ouvrir une fois téléchargé...

Luffy =) · Answer

Salut =)Il me semble que tu peux le faire avec le code :header('Content-Disposition: attachment; filename="document.pdf"');++

Zep3k!GnO · Answer

okay bin je testerai ça et je dirai si j'ai des soushis  :DMErci

boulinette · Answer

telecharger Tom fichier download La var file c'est ton fichier

geek1983 · Answer

Pour ceux qui inclue force-download.php à leur script et qui ont le problème de la page blanche après l'exécution de force-download.php la solution est de l'appeler via un iframe invisible. Ex: echo '';

A. nonyme · Answer

Bonjour,

Je voulais utiliser un code similaire à celui-ci dessus pour crée un fichier téléchargeable et ca en temp réel, je connais d'avance la taille final (on va dire 750ko pour l'exemple) donc je l'indique dans l'header ainsi que le nom.

J'ai volontairement mis seulement un readfile avec un fichier plus petit (on va prendre par exemple 500ko) que le resultat final pour simuler une erreur ou bug de programmation dans l'une des routines de création à la volée.

Lorsque IE commence le téléchargement, il m'affiche la taille et le nom voulu par les header, il commence à telecharger les 500 premiers ko, il s'arrete mais au lieu d'afficher une erreur, il fait comme s'il avait réussi à télécharger le fichier sauf qu'il fait 500ko alors qu'il avait annoncé 750ko au démarrage du téléchargement.

Est-ce qu'il y a un moyen d'éviter qu'un telechargement incomplet pour cause de plantage soit affiché comme réussi ? (un peu comme quand la connexion est interrompue)

Est-ce une précision dans l'header qui force la verification ? Est-ce qu'il faut envoyer quelques choses pour signaler l'erreur ?

Merci d'avance.

masternico · Answer

100% d'accord...

kelsett · Answer

Bonsoir,

Je cherchais depuis un petit moment comment faire ça, et ce script fonctionne merveilleusement bien... sous Chrome. Sous Internet Explorer lorsque le téléchargement est censé commencer, le navigateur affiche un message : "Internet Explorer a bloqué le téléchargement de fichiers... {etc}" et sous Firefox il y a l'habituel "Voulez vous enregistrer ce fichier" etc.

Y a t'il une meilleure technique ?

Merci

Armoric · Answer

Après test du code qui ne fonctionne pas sur IE chez moi non plus, voici ce que j'ai trouvé en fouinant à peine et qui fonctionne tant sur Fx qu'IE :

<? 
$dir="/path/to/file/";
if (isset($_REQUEST["file"])) {
    $file=$dir.$_REQUEST["file"];
    header("Content-type: application/force-download");
    header("Content-Transfer-Encoding: Binary");
    header("Content-length: ".filesize($file));
    header("Content-disposition: attachment; filename=\"".basename($file)."\"");
    readfile("$file");
} else {
    echo "No file selected";
}
 ?> 

Trouvé sur http://www.higherpass.com/php/Tutorials/File-Download-Security/.

kelsett · Answer

Non désolé ^^ ce code ne fonctionne pas non plus, ou peut être sur les anciennes versions mais sur IE8 ou Firefox 3 cela ne fonctionne pas, ca présente toujours la fenêtre de demande de téléchargement.

masternico · Answer

Bonsoir,
je crois qu'il serait bon de répéter certaines choses importantes qui, semblerait-il, passent inaperçues aux yeux de beaucoup de gents:
ce genre de script est à bannir car il présente un énorme risque de sécurité. Pour illustrer mon propos, prenons un petit exemple. 
Si l'on regarde attentivement au script montré orgueilleusement par notre ami armoric nous pouvons constater un gros problème. La variable qui contient le nom du fichier est dans l'argument $_REQUEST['file'].
Donc si l'on veut télécharger le fichier 'blabla.pdf' il suffit de faire l'appel à la page de la manière suivante:
download_file.php?file=blabla.pdf

jusque là, tout va bien dans le meilleur des mondes. 
Problème... c'est qu'Internet n'est pas le meilleur des mondes. Bien au contraire, c'est un lieu où se tapissent les pires loups qui attendent la brebis égarée.

En termes concrêt voici ce qu'un hacker peux faire avec ce superbe script présenté plus haut (en supposant que le répertoire de stockage est /documents/downloads/

on commence par:
download_file.php?file=index.php
Pas de résultats, c'est que la racine du site est plus haut dans l'arborescence 
donc on recommence avec un niveau supérieur:
download_file.php?file=../index.php
Toujours pas de résultats, on continue:
download_file.php?file=../../index.php
BINGO!!! je récupère le fichier index.php du site. En auscultant le code, je peux y trouver les chemins d'accès aux fichiers de configurations d'accès à la base de données... qu'il me suffira de donner en argument au merveilleux script dont nous parlons.

Ce qui fait que en moins de 5mn, j'ai parcouru l'arboresence du site et j'ai tous les codes d'accès à la base de données.

Merci... super code...

Pour ceux que ça intéresse, j'ai crée une source php facilement implémentable dans tout site voulant ajouter la fonction de téléchargement de fichier. Il s'agit d'un mécanisme de jetons avec lesquels vous donner accès à un fichier par l'intermédiaire d'un lien de téléchargement codé. Il n'est pas possible de télécharger autre chose que ce qui est mis à disposition et même si quelqu'un s'amuse à jouer avec les numéros de jetons tout ce qu'il pourra obtenir après de nombreuses tentatives, c'est un fichier qui était programmé au téléchargement. Donc pas de risques de sécurités.

Le script peut être téléchargé à l'adresse suivante:

https://codes-sources.commentcamarche.net/


Cordialement

kelsett · Answer

Bien sûr, il faut réfléchir avant d'utiliser ce code, ce que tu as cité n'est qu'un exemple parmi tant d'autres car il est évidemment possible de provoquer beaucoup plus de dégâts que ce que tu as dit (je pense notamment au téléchargement forcé de virus/trojans et autres... imagine un bot téléchargé par plusieurs milliers de personnes, le hacker se verrait en mesure d'attaquer de plus gros sites) et il est évident qu'il faut sécuriser ce script pour ne pouvoir accéder qu'à certains fichiers/dossiers/extensions.

Armoric · Answer

C'est bien ça : le problème est que le script ne fonctionnait pas sous IE au niveau des headers, visiblement, j'ai fait profiter d'une source que j'avais trouvée et qui effectivement fonctionnait chez moi (Fx 3.0.11 et IE...6.0, j'avoue, je ne m'en sers pas vraiment) pour indiquer quels headers semblaient les bons, mais je pensais évident que tout l'enrobage est fonction de ce qu'on veut en faire ensuite.
Cela dit, j'aurais peut-être dû préciser qu'utiliser des variables POST est un minimum (et encore...) pour les débutants, oui.

masternico · Answer

Même... en POST le problème persiste:
J'ai juste à faire une page avec deux frames dont une que j'utilise pour afficher une page de ton site (index par exemple).
Du coup, comme j'ai la main sur la page de ton site (d'une frame à l'autre je peux faire ce que je veux), j'y rajoute un script d'appel ajax (le tout se passe en interne sur mon ordi. Je ne touche à rien sur la page d'origine qui se trouve sur le serveur).
Ensuite, comme la page de ton site est autorisée a effectuer une requette ajax sur ton site (normal), je déclenche la procédure qui se charge d'envoyer une requette POST avec les paramètres d'appels qu'il faut pour demander à télécharger n'importe quel fichier de ton site. 
Le retour se fait aussi grâce la page de ton site que j'ai modifiée. La seule différence, c'est qu'au lieu que mon navigateur n'interprète la page HTML que je reçois en retour, c'est à moi de la décoder. Mais là encore, rien de bien sorcier:
j'ouvre une popup et j'y écris tout simplement ce que je reçois de ton site... donc la popup me propose ton fichier en téléchargement...

C'est le BABA du Xsite-scripting (cross-site scriping)

Les mains dans le nez, les doigts dans les poches...

IncludE · Answer

En effet, le script reste par lui même fonctionnel !

Comme le dit masternico, il sera très simple de passer n'importe quel fichier en paramètre. Et même les fichiers .htaccess / .htpasswd / .htgroup / robot.txt  !!! Oui le readfile de php étant natif et possédant les droits de lecture, il permettra de lire n'importe quel fichier dant le documentRoot du site.

Ne jamais passer de nom de dossier dans la variable, et au contraire placer en dur le répertoire où se trouve le(s) fichier(s) a télécharger dans le script php et de bien contrôler l'existance de la ressource à délivrer.

Autre point, je cherche à ce que GG Analytics puisse 'tracker' les fichiers downloadés !!
Qq. à t-il une idée ?

Il me vient l'idée de forcer le download via HTML à partir d'un meta refresh et donc de placer le code GGAT dans la page ...

ju0123456789 · Answer

Bonjour !

ça marche avec des PDF, mais avec des JPG par exemple ? j'arrive pas a faire marcher !!!
J'utilise : 
$fichier = "monchemin_/classement.xjpg;
header("Content-type: application/force-download");
 header("Content-disposition: attachment; filename=$fichier");

Pour certains c'est une méthode à l'arrache, mais on ne pourra pas aller dans ma BDD, car les code de connexion sont dans un include caché (ne me demandez pas comment j'ai fait c'est mon chef de projet qui a gérer ça.. trop compliqué pour moi lol)

 Et ça marche trs bien sous IE8, mais uniquement avec les PDF, j'ai testé avec un XLS et un JPG et les fichiers que je téléchargent sont vides... :(

Quelqu'un connait-il le problème ?

Merci

Ju'

ju0123456789 · Answer

Bon en fait j'ai trouvé mon problème,

C'est tout simplement parceque j'ai eu de la chance avec le PDF ... ^^  ça ne marchais pas avec les autres types de fichiers car j'avais laissé des balises HTML trainé et un include intégrant du HTML.

Maintenant ça marche mieux :)

Donc voilà je transmets, au cas où ça pourrait aider quelqu'un ;)

Faust · Answer

application/octet-stream est le type officiel. 
application/force-download n'est pas reconnu par les navigateurs web, ce qui signifie que le header est traité comme un  application/octet-stream.

Mike_Logan · Answer

J'ai essayé la version de boulinette qui ne marche pas chez moi... Ensuite j'ai testé la proposition de Masternico, c'est sans doute très bien mais je n'ai pas très bien compris l'utilisation du schmilblik d'autant que ça créait un maximum d'erreurs (sans doute dûes à une mauvaise installation de ma part) En farfouillant j'ai fini par trouver une solution simple et qui doit être suffisamment sécurisée étant donné qu'elle utilise le .htaccess ça consiste tout simplement à créer un .htaccess avec pour contenu ceci : ForceType application/octet-stream Header set Content-Disposition attachment si ça peut aider ... Il est à noter que cette méthode ne marche pas sur certains serveurs, notamment FREE

wence · Answer

tout c'est trucs sont du bla bla bla. esait le accelerator plus. et tu va voir. lolll.

adibou · Answer

je me suis prie 2 portes dans la tronche aujourd'hui , j'avais pas vu qu'elles ne s'ouvrer pas

Scienti · Answer

Bonjour,
je pense que ceci peut vous être utile !
https://webinfobazar.com/header-location-telechargement-dun-fichier-php/

d'autres tutos/astuces sont en cours de réalisation :)

[PhP] Forcer le download.

23 réponses

Discussions similaires