Je suis en train de coder un form d'upload tout simple.
Je souhaite bien entendu vérifier le type du fichier envoyé, histoire d'éviter qu'on me balance du php... Mettons que je n'accepte que les images.
Est-ce qu'on je peux me contenter de tester le mime type? (comme je sais que vérifier l'extension n'est pas une bonne idée...)
Publicité
Posté le 15-10-2011 à 00:01:57
CyberDenix
Posté le 16-10-2011 à 17:37:59
De mémoire, le type mime peut aussi être falsifié.
Pour les images, le seul et unique moyen de briser un fichier dangeureux, c'est de créer une image GD2 ayant le contenu du fichier.
Autrement dit, encapsuler le tout dans un conteneur d'image. Si ce n'est pas une image, GD2 te renverra tout simplement un false et tu pourras afficher un message d'erreur disant que la ressource n'est pas une image valide.
oui j'y avais pensé, faire un imagecreatefrom() pour les img et du content-disposition en attachment pour tout le reste (zip, etc) mais je me demandais si ça risquait pas de pomper trop de ressource sur le serveur.
j'ai bcp lu et effectivement c'est un peu la seule solution qui tienne la route.
merci
