[PhP] Forcer le download.

Résolu

Zep3k!GnO Messages postés 2025 Date d'inscription Statut Membre Dernière intervention -
postgresophil - 3 juin 2015 à 13:04

Bonjour à tous.
Je voulais savoir comment on fait en PhP pour forcer l'utilisateur à télécharger un document (mon cas un PDF).
Que lorsque l'on clic sur le lien, on ait l'invite de télécharegement qui s'affiche.
Je sais que c'est avec des hearders mais je ne me souviens plus bien...
Merci à vous !

Afficher la suite

Répondre (23) Posez votre question

Répondre (23)

A voir également:

Force download php
Demarrage forcé pc - Guide
Microsoft store download - Guide
Télécharger music mp3 gratuit download pc - Télécharger - Conversion & Extraction
Canva download - Télécharger - Divers Photo & Graphisme
Word 2013 free download - Télécharger - Traitement de texte

23 réponses

Réponse 1 / 23

Meilleure réponse

La meilleure réponse est la réponse qui a été validée par nos équipes.

P-Y

Le script mentionné ci-dessus est TRÈS INSÉCURE

Si par exemple on se trouve sur un serveur linux, il suffit de lui passer, par exemple,la valeur "../../../../../../etc/passwd" pour downloader le fichier /etc/passwd... On peut virtuellement accéder à n'importe lequel fichier du serveur à l'aide de ce script.

Utiliser plutot ce script, qui utilise basename() afin de se limiter aux fichiers du répertoire local, par exemple.

<?php
$file=$_GET['file'];

if (($file != "") && (file_exists("./" . basename($file))))
{
$size = filesize("./" . basename($file));
header("Content-Type: application/force-download; name=\"" . basename($file) . "\"");
header("Content-Transfer-Encoding: binary");
header("Content-Length: $size");
header("Content-Disposition: attachment; filename=\"" . basename($file) . "\"");
header("Expires: 0");
header("Cache-Control: no-cache, must-revalidate");
header("Pragma: no-cache");
readfile("./" . basename($file));
exit();
}
?>

Réponse 2 / 23

masternico Messages postés 487 Date d'inscription Statut Membre Dernière intervention 320

Bonsoir,
je crois qu'il serait bon de répéter certaines choses importantes qui, semblerait-il, passent inaperçues aux yeux de beaucoup de gents:
ce genre de script est à bannir car il présente un énorme risque de sécurité. Pour illustrer mon propos, prenons un petit exemple.
Si l'on regarde attentivement au script montré orgueilleusement par notre ami armoric nous pouvons constater un gros problème. La variable qui contient le nom du fichier est dans l'argument $_REQUEST['file'].
Donc si l'on veut télécharger le fichier 'blabla.pdf' il suffit de faire l'appel à la page de la manière suivante:
download_file.php?file=blabla.pdf

jusque là, tout va bien dans le meilleur des mondes.
Problème... c'est qu'Internet n'est pas le meilleur des mondes. Bien au contraire, c'est un lieu où se tapissent les pires loups qui attendent la brebis égarée.

En termes concrêt voici ce qu'un hacker peux faire avec ce superbe script présenté plus haut (en supposant que le répertoire de stockage est /documents/downloads/

on commence par:
download_file.php?file=index.php
Pas de résultats, c'est que la racine du site est plus haut dans l'arborescence
donc on recommence avec un niveau supérieur:
download_file.php?file=../index.php
Toujours pas de résultats, on continue:
download_file.php?file=../../index.php
BINGO!!! je récupère le fichier index.php du site. En auscultant le code, je peux y trouver les chemins d'accès aux fichiers de configurations d'accès à la base de données... qu'il me suffira de donner en argument au merveilleux script dont nous parlons.

Ce qui fait que en moins de 5mn, j'ai parcouru l'arboresence du site et j'ai tous les codes d'accès à la base de données.

Merci... super code...

Pour ceux que ça intéresse, j'ai crée une source php facilement implémentable dans tout site voulant ajouter la fonction de téléchargement de fichier. Il s'agit d'un mécanisme de jetons avec lesquels vous donner accès à un fichier par l'intermédiaire d'un lien de téléchargement codé. Il n'est pas possible de télécharger autre chose que ce qui est mis à disposition et même si quelqu'un s'amuse à jouer avec les numéros de jetons tout ce qu'il pourra obtenir après de nombreuses tentatives, c'est un fichier qui était programmé au téléchargement. Donc pas de risques de sécurités.

Le script peut être téléchargé à l'adresse suivante:

https://codes-sources.commentcamarche.net/

Cordialement

lecrabe

toi qui te crois si malin tu ne pense pas que mètre un if($file!="index.php") serai beaucoup plus simple pour empêcher le download de ton code source

masternico Messages postés 487 Date d'inscription Statut Membre Dernière intervention 320

lol...
excuse-moi, mais là, c'est trop drole.
Franchement! Réfléchie un peut à ce que tu proposes comme solution et tu comprendras pourquoi je rigole.
Si tu ne comprends pas, demande à quelqu'un de ton entourage qui s'y connaisse un peut en programmation, il pourra peut-être t'expliquer gentillement, moi, j'ai d'autres choses à faire...

LSRMax

Suffit de pas passer l'extension du fichier en parametre ou d'appliquer un controle dessus. Avec un peu de nettoyage du param pour virer les chemins relatifs et imposer ton repertoire de DL. Je pense que c'est assez secure.

Bencori

Je sais, ça fait un an mais bon. Tu as raison masternico, ça me parait évident, je ne comprends pas qu'il soit même possible d'argumenter. Ce script représente une faille majeure point barre...

kelsett Messages postés 353 Date d'inscription Statut Membre Dernière intervention 62

Qu'il soit bien clair que ce n'est pas une faille, ca ne sera jamais corrigé par Php, ce bout de code effectue parfaitement son boulot, et c'est au webmaster de prendre des précautions...

Réponse 3 / 23

boulinette Messages postés 167 Date d'inscription Statut Membre Dernière intervention 61

<a href="download-doc.php?file=ton_fichier">telecharger </a>

Tom fichier download

La var file c'est ton fichier

<?
$file=$_GET['file'];

//telechargement
$taille=filesize("doc/$file");
header("Content-Type: application/force-download; name=\"$file\"");
header("Content-Transfer-Encoding: binary");
header("Content-Length: $taille");
header("Content-Disposition: attachment; filename=\"$file\"");
header("Expires: 0");
header("Cache-Control: no-cache, must-revalidate");
header("Pragma: no-cache");
readfile("doc/$file");
exit();
?>

Zep3k!GnO Messages postés 2025 Date d'inscription Statut Membre Dernière intervention 200

Yep, merci , c'est le post ou t'avais mis ca que je ne retrouvait plus... Merci beaucoup :D
Bonne journée.

masternico Messages postés 487 Date d'inscription Statut Membre Dernière intervention 320

Salut boulinette. Merci pour ton script.
Le "binary" dans la clause "transfert-encoding" me résout mon propblème.

liliana23info Messages postés 8 Date d'inscription Statut Membre Dernière intervention > Zep3k!GnO Messages postés 2025 Date d'inscription Statut Membre Dernière intervention

salut?stp tu peux m'aider en php?

shinmei

Vous êtes fous d'utiliser ce script. Il permet de downloader n'importe quel fichier passé via GET, c'est très très très insecure !

aya

merci pour ton scipt

Réponse 4 / 23

Mike_Logan Messages postés 1 Date d'inscription Statut Membre Dernière intervention 4

J'ai essayé la version de boulinette qui ne marche pas chez moi...
Ensuite j'ai testé la proposition de Masternico, c'est sans doute très bien mais je n'ai pas très bien compris l'utilisation du schmilblik d'autant que ça créait un maximum d'erreurs (sans doute dûes à une mauvaise installation de ma part)

En farfouillant j'ai fini par trouver une solution simple et qui doit être suffisamment sécurisée étant donné qu'elle utilise le .htaccess

ça consiste tout simplement à créer un .htaccess avec pour contenu ceci :

<FilesMatch "\.(?i:pdf)$">  
  ForceType application/octet-stream  
  Header set Content-Disposition attachment  
</FilesMatch>

si ça peut aider ...

Il est à noter que cette méthode ne marche pas sur certains serveurs, notamment FREE

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 23

kelsett Messages postés 353 Date d'inscription Statut Membre Dernière intervention 62

Bien sûr, il faut réfléchir avant d'utiliser ce code, ce que tu as cité n'est qu'un exemple parmi tant d'autres car il est évidemment possible de provoquer beaucoup plus de dégâts que ce que tu as dit (je pense notamment au téléchargement forcé de virus/trojans et autres... imagine un bot téléchargé par plusieurs milliers de personnes, le hacker se verrait en mesure d'attaquer de plus gros sites) et il est évident qu'il faut sécuriser ce script pour ne pouvoir accéder qu'à certains fichiers/dossiers/extensions.

Réponse 6 / 23

Armoric

Après test du code qui ne fonctionne pas sur IE chez moi non plus, voici ce que j'ai trouvé en fouinant à peine et qui fonctionne tant sur Fx qu'IE :

<? 
$dir="/path/to/file/";
if (isset($_REQUEST["file"])) {
    $file=$dir.$_REQUEST["file"];
    header("Content-type: application/force-download");
    header("Content-Transfer-Encoding: Binary");
    header("Content-length: ".filesize($file));
    header("Content-disposition: attachment; filename=\"".basename($file)."\"");
    readfile("$file");
} else {
    echo "No file selected";
}
 ?>

Trouvé sur http://www.higherpass.com/php/Tutorials/File-Download-Security/.

Réponse 7 / 23

kelsett Messages postés 353 Date d'inscription Statut Membre Dernière intervention 62

Non désolé ^^ ce code ne fonctionne pas non plus, ou peut être sur les anciennes versions mais sur IE8 ou Firefox 3 cela ne fonctionne pas, ca présente toujours la fenêtre de demande de téléchargement.

Réponse 8 / 23

ju0123456789

Bonjour !

ça marche avec des PDF, mais avec des JPG par exemple ? j'arrive pas a faire marcher !!!
J'utilise :
$fichier = "monchemin_/classement.xjpg;
header("Content-type: application/force-download");
header("Content-disposition: attachment; filename=$fichier");

Pour certains c'est une méthode à l'arrache, mais on ne pourra pas aller dans ma BDD, car les code de connexion sont dans un include caché (ne me demandez pas comment j'ai fait c'est mon chef de projet qui a gérer ça.. trop compliqué pour moi lol)

Et ça marche trs bien sous IE8, mais uniquement avec les PDF, j'ai testé avec un XLS et un JPG et les fichiers que je téléchargent sont vides... :(

Quelqu'un connait-il le problème ?

Merci

Ju'

Réponse 9 / 23

Zep3k!GnO Messages postés 2025 Date d'inscription Statut Membre Dernière intervention 200

okay bin je testerai ça et je dirai si j'ai des soushis :D
MErci

Réponse 10 / 23

masternico Messages postés 487 Date d'inscription Statut Membre Dernière intervention 320

100% d'accord...

Réponse 11 / 23

kelsett Messages postés 353 Date d'inscription Statut Membre Dernière intervention 62

Bonsoir,

Je cherchais depuis un petit moment comment faire ça, et ce script fonctionne merveilleusement bien... sous Chrome. Sous Internet Explorer lorsque le téléchargement est censé commencer, le navigateur affiche un message : "Internet Explorer a bloqué le téléchargement de fichiers... {etc}" et sous Firefox il y a l'habituel "Voulez vous enregistrer ce fichier" etc.

Y a t'il une meilleure technique ?

Merci

Réponse 12 / 23

Armoric

C'est bien ça : le problème est que le script ne fonctionnait pas sous IE au niveau des headers, visiblement, j'ai fait profiter d'une source que j'avais trouvée et qui effectivement fonctionnait chez moi (Fx 3.0.11 et IE...6.0, j'avoue, je ne m'en sers pas vraiment) pour indiquer quels headers semblaient les bons, mais je pensais évident que tout l'enrobage est fonction de ce qu'on veut en faire ensuite.
Cela dit, j'aurais peut-être dû préciser qu'utiliser des variables POST est un minimum (et encore...) pour les débutants, oui.

Réponse 13 / 23

masternico Messages postés 487 Date d'inscription Statut Membre Dernière intervention 320

Même... en POST le problème persiste:
J'ai juste à faire une page avec deux frames dont une que j'utilise pour afficher une page de ton site (index par exemple).
Du coup, comme j'ai la main sur la page de ton site (d'une frame à l'autre je peux faire ce que je veux), j'y rajoute un script d'appel ajax (le tout se passe en interne sur mon ordi. Je ne touche à rien sur la page d'origine qui se trouve sur le serveur).
Ensuite, comme la page de ton site est autorisée a effectuer une requette ajax sur ton site (normal), je déclenche la procédure qui se charge d'envoyer une requette POST avec les paramètres d'appels qu'il faut pour demander à télécharger n'importe quel fichier de ton site.
Le retour se fait aussi grâce la page de ton site que j'ai modifiée. La seule différence, c'est qu'au lieu que mon navigateur n'interprète la page HTML que je reçois en retour, c'est à moi de la décoder. Mais là encore, rien de bien sorcier:
j'ouvre une popup et j'y écris tout simplement ce que je reçois de ton site... donc la popup me propose ton fichier en téléchargement...

C'est le BABA du Xsite-scripting (cross-site scriping)

Les mains dans le nez, les doigts dans les poches...

Réponse 14 / 23

IncludE

En effet, le script reste par lui même fonctionnel !

Comme le dit masternico, il sera très simple de passer n'importe quel fichier en paramètre. Et même les fichiers .htaccess / .htpasswd / .htgroup / robot.txt !!! Oui le readfile de php étant natif et possédant les droits de lecture, il permettra de lire n'importe quel fichier dant le documentRoot du site.

Ne jamais passer de nom de dossier dans la variable, et au contraire placer en dur le répertoire où se trouve le(s) fichier(s) a télécharger dans le script php et de bien contrôler l'existance de la ressource à délivrer.

Autre point, je cherche à ce que GG Analytics puisse 'tracker' les fichiers downloadés !!
Qq. à t-il une idée ?

Il me vient l'idée de forcer le download via HTML à partir d'un meta refresh et donc de placer le code GGAT dans la page ...

kelsett Messages postés 353 Date d'inscription Statut Membre Dernière intervention 62

Il me vient l'idée de forcer le download via HTML à partir d'un meta refresh et donc de placer le code GGAT dans la page ...

Oui, ou alors peut être ajouter automatiquement l'url de tes fichiers sur ton plan de site...

Réponse 15 / 23

ju0123456789

Bon en fait j'ai trouvé mon problème,

C'est tout simplement parceque j'ai eu de la chance avec le PDF ... ^^ ça ne marchais pas avec les autres types de fichiers car j'avais laissé des balises HTML trainé et un include intégrant du HTML.

Maintenant ça marche mieux :)

Donc voilà je transmets, au cas où ça pourrait aider quelqu'un ;)

ambro

pourriez-vous m'envoyer l'intégralité votre script final pour le téléchargement des fichiers sur Internet ?

Réponse 16 / 23

Faust

application/octet-stream est le type officiel.
application/force-download n'est pas reconnu par les navigateurs web, ce qui signifie que le header est traité comme un application/octet-stream.

Réponse 17 / 23

adibou

je me suis prie 2 portes dans la tronche aujourd'hui , j'avais pas vu qu'elles ne s'ouvrer pas

Réponse 18 / 23

Scienti Messages postés 13 Date d'inscription Statut Membre Dernière intervention 9

Bonjour,
je pense que ceci peut vous être utile !
https://webinfobazar.com/header-location-telechargement-dun-fichier-php/

d'autres tutos/astuces sont en cours de réalisation :)

Réponse 19 / 23

kilian Messages postés 8732 Date d'inscription Statut Modérateur Dernière intervention 1 526

Je crois que c\'est une chose qui ne concerne que le navigateur en fonction du type MIME du document qu\'on lui propose.

Si par exemple un serveur lui envoie un document possédant le type MIME d\'un pdf et que le navigateur inclut la lecture des pdf alors celui -ci le lira directement, par contre pour un type MIME qu\'il ne sait pas traiter il proposera le téléchargement.

Une solution pour pallier à ça serait de donner le type MIME
application/octet-stream (grâce à la fonction header justement):

header('Content-Type: application/octet-stream')

puis d\'envoyer le pdf mais il faut que la personne en face sache comment l\'ouvrir une fois téléchargé...

-1

Réponse 20 / 23

Luffy =) Messages postés 365 Date d'inscription Statut Membre Dernière intervention

Salut =)

Il me semble que tu peux le faire avec le code :
header('Content-Disposition: attachment; filename="document.pdf"');

++

-1

Répondre Posez votre question

Votre réponse

Discussions similaires

exemple de projet php

Alfred -
emnamaissa -

42 réponses

comment installer GLPI

kribi -
rima -

8 réponses

[PHP] Appeler une fonction javascript

Stef -
gage -

5 réponses

parse error, unexpected T_VARIABLE

max -
antoine9298 -

19 réponses

PHP - Supprimer les espaces d'une chaine

antic80 -
midnnight -

25 réponses

[php] Exportation de php/sql vers Excel

Foudébois -
hkmah -

25 réponses

Devenez membre en quelques clics

Connectez-vous simplement avec ceux qui partagent vos intérêts
Suivez vos discussions facilement et obtenez plus de réponses
Mettez en avant votre expertise et aidez les autres membres
Profitez de nombreuses fonctionnalités supplémentaires en vous inscrivant

S'inscrire