formulaire d'upload pas sécurisé Fermé

Question

Bonjour, malgré les sécurité que j'ai mise en place sur mon formulaire d'upload j'arrive quand même a y télécharger des fichier php (renommer en jpg). les fichiers ne rentre pas dans ma BDD mais ils vont quand même dans mon dossier "image". comment les bloquer?

voici le code 

if(!empty($_FILES)){	$avatar = $_FILES['avatar'];	$avatar_name = $avatar['name'];	$ext = strtolower(substr(strrchr($avatar_name,'.'),1));	$ext_aut = array('jpg','jpeg','png');		function check_extension($ext,$ext_aut)	{		if(in_array($ext,$ext_aut))		{			return true;		}	}		$valid = (!check_extension($ext,$ext_aut)) ? false : true;	$erreur = (!check_extension($ext,$ext_aut)) ? 'Veuillez charger une image' : '';		if($valid)	{		$max_size = 2000000;		if($avatar['size']>$max_size)		{			$valid = false;			$erreur = 'Fichier trop gros';		}	}		if($valid)	{		if($avatar['error']>0)		{			$valid = false;			$erreur = 'Erreur lors du transfert';		}	}		if($valid)	{		$path_to_image = 'image/image';		$path_to_min = 'image/miniature';				$filename =  rand (10000,50000);					$source = $avatar['tmp_name'];		$target = $path_to_image . $filename. '.'. $ext;		$mintarget = $path_to_min . $filename. '.'. $ext;						move_uploaded_file($source,$target);				if($ext == 'jpg' || $ext == 'jpeg') {$im = imagecreatefromjpeg($path_to_image.$filename.'.'.$ext);}		if($ext == 'png') {$im = imagecreatefrompng($path_to_image.$filename.'.'.$ext);}						$ox = imagesx($im);		$oy = imagesy($im);				$nx = 300;		$ny = floor($oy *($nx/$ox));				$nm = imagecreatetruecolor($nx,$ny);				imagecopyresized($nm, $im, 0,0,0,0, $nx,$ny,$ox,$oy);				imagejpeg($nm, $path_to_min.$filename.'.'.$ext);				$nom_image = $target.''   ;		$min =  $mintarget.'' ;				$data= array(		'image'=>$nom_image,	    'min'=>$min				);		$nb= $DB->insert("INSERT INTO images (image,min) VALUES (:image,:min)",$data);		   header('Location:upload.php');                exit;			}}

merci

Pitet · Answer

Salut,

Une solution est de vérifier en plus le type MIME du fichier envoyé.
Pour cela tu peux utiliser une des fonctions suivantes :
- https://www.php.net/manual/fr/function.getimagesize.php
- https://www.php.net/manual/en/ref.fileinfo.php
- http://us3.php.net/manual/en/function.mime-content-type.php (deprecated)

Bonne journée

Utilisateur anonyme · Answer

Bonjour

Tu vérifies bien le type de fichier, mais tu le recopies AVANT la vérification !
Sois logique, ne le recopie qu'après, s'il est bien d'un des types acceptés !

Colbi97 · Answer

Bonjour,

Des fichiers php renommés en jpg ?

 Là, effectivement, çà va passer ton test sur l'extension sans problème, la vérification du type MIME ne bloquera pas non plus ce fichier (basée sur l'extension aussi, en fait donc quand on change l'extension le type MIME change avec).

La seule solution serait d'ouvrir en lecture avec PHP chaque fichier reçu puis de chercher dedans la présence de balises de début de code (version "normale" <?php comme version "courte <?).

Mais pourquoi vérifier ? Sauf erreur de ma part, sans accès en modification au serveur, le fichier ne pourra pas être renommer pour remettre la bonne extension et donc le serveur web n'interprètera jamais le code contenu. Il y aura juste une image non lisible de stockée.

loki33 · Answer

Pitet->Bonjour et merci  pour vos liens je vais lire ça! Quel fonction tu me conseille des 3? (la plus utile)

le père-> Bonjour avant de recopier l'image je mets bien la condition if(valid) (qui vérifie que l'extension est ok) donc je comprends pas trop votre remarque? 

Colbi97 ->Bonjour , oui c'est ce qu'il me semblait il n'y a aucun moyen pour l'utilisateur malveillant d'activer son script a distance sans accès au serveur mais j'aurais aimé en être sur. donc du coup si je copie le code actuel sur mon site je suis bon niveau sécurité ?  sachant que pratiquement tout mon site sera basé sur le partage d'image j'aurais l'air vraiment con si y a des failles!

bonne soirée a vous!!

Utilisateur anonyme · Answer

Toutes mes excuses, j'avais lu trop vite et ma remarque n'est pas justifiée.

Par contre, en lisant plus attentivement cette fois, je vois que tu ne testes pas la valeur de $im. Si le fichier n'est pas une bonne image, ou s'il y a un quelconque problème, $im sera FALSE et il suffit de faire le imagecreatefromxxx à partir du fichier temporaire, et de ne faire le move_uploaded_file qu'après si tout va bien.

Petite remarque :
$valid = (!check_extension($ext,$ext_aut)) ? false : true;
 est un façon bien compliquée d'écrire 
$valid = check_extension($ext,$ext_aut); 

et ce serait bien de ne pas omettre le "return false;" dans check_extension

loki33 · Answer

Bonjour, j'ai donc rajouté une sécurité en plus avec getimagesize comme vous me l'avez conseillé au début

                         if($valid){		if(isset ($_FILES['image']) && ($_FILES['image']['error']==0)):		list ($width,$height,$type,$attr)= getimagesize ($_FILES['image']['tmp_name']);				if (is_null($type) && $width==0 && $height==0):		$erreur = 'Votre image est un php petit malin';			$validate = false;						endif;		 		 endif;		 }

Et hop miracle mon php renommé en jpg ne passe plus !

Par contre j'ai entendu dire que ce n'était pas efficace contre les gifs avec du code php a l'intérieur?

dans tout les cas les .gif ne font pas partit des extensions que j'autorise au début donc je devrais être ok non?

bonne journée.

Formulaire d'upload pas sécurisé

6 réponses

Discussions similaires