(reprise du message précédent)
Bonjour,
C'est pareil pour le mimetype. Comme c'est le navigateur Web qui transmet le mimetype du fichier, il peut être falsifié.
Je vais revenir un peu plus tard pour donner la procédure pour sécuriser au maximum l'upload de fichiers.
Modifié par Tony Monast (26 Apr 2011 - 23:23)
Bonjour,
jb_gfx a écrit :
Juste un truc, quand je regarde ton code : tu te bases sur le nom du fichier pour déterminer son format (d'après l'extension). Cela pose plusieurs problèmes :
- Au niveau de la sécurité : l'utilisateur peut très bien changer le l'extension du fichier et tenter d'exploiter ton script pour le détourner de son fonctionnement initial.
...
Pour déterminer si un fichier est dans le bon format tu devrais te baser sur son type mime.
C'est pareil pour le mimetype. Comme c'est le navigateur Web qui transmet le mimetype du fichier, il peut être falsifié.
Je vais revenir un peu plus tard pour donner la procédure pour sécuriser au maximum l'upload de fichiers.
Modifié par Tony Monast (26 Apr 2011 - 23:23)