Forum

Bonjour,

Je possède un site d'hébergement d'image en autre, maintenant un problème s'oppose à moi.

Chaque utilisateurs peuvent récupérer avec un simple code tout ce qui se trouve sur mon site, en écrivant un code PHP et en mettant l'extension .jpg ou autre extension accepter par mon script.

Je sais qu'il est possible de contrer cela en vérifiant le mime du fichier, maintenant je ne sais pas du tout comme m'y prendre.

Merci, de votre aide.

Deux liens parmi d'autres possibles

http://www.php.net/manual/fr/function.finfo-file.php entre autre
http://fr.wikipedia.org/wiki/Type_MIME

Un conseil également :

Ne pas vérifier le type MIME du fichier juste après le POST car on peut l'usurper également. Il faut enregistrer le fichier sur le disque dans le répertoire temporaire et seulement après, vérifier son type MIME par son nom de fichier.

Le mieux également est de chercher la taille du fichier image, ainsi si ce n'est pas une véritable image, la taille sera de 0 et on peut même obtenir le type MIME de l'image via cette méthode par la même occasion :

J'ai du mal à comprendre quelque chose.

Dans le truc 'image/', faut que j'écrive le nom du dossier ? C'est ce que j'ai fait... Sauf qu'il m'indique toujours que le fichier envoyer n'est pas une image.

Ensuite ou "rb" il correspond à quoi ?

Merci,

rb pour droits en lecture binaire
Et pour image/ , il ne faut pas le remplacer, ce n'est pas un répertoire, c'est le début du type MIME image , ex : image/png.
En fait, getimagesize() te renvoie un tableau contenant différentes infos, notamment à l'index 'mime' le type MIME de ton image.
En filtrant les 6 premières lettres, tu obtiens normalement "image/" ce qui englobe tous les types d'image.

A ok d'accord merci.

De rien.
Ensuite concernant ton problème, je ne suis pas sur d'avoir compris. Tu veux empêcher tout le monde de télécharger tes images ? Ou juste empêcher le hotlink ( le fait que quelqu'un utilise l'URL de ton image pour l'afficher sur son site) ? Ou alors autre chose et j'ai vraiment rien compris ^^
Dans le second cas, c'est très simple, dans le premier, tout simplement impossible.
Impossible dans le sens où il y aura toujours un moyen de récupérer l'image "à la main".
Peut être que la solution serait tout simplement de mettre un watermak ( sorte de signature http://fr.wikipedia.org/wiki/Tatouage_num%C3%A9rique) sur tes images, comme ça personne ne pourra usurper ton travail.


EDIT : Après relecture je pense que j'avais mal compris ta question. Tu veux en fait prévenir les attaques d'injection de code php à l'aide d'une fausse image, c'est ça ?
Du coup mes solutions sont inutiles, et le mieux est effectivement ce qui a été dis lors des précédents posts. Bonne chance

En effet tu avais très mal compris

Les deux solutions dite précédemment, m'affiche toujours, "Le fichier envoyé n'est pas une image"...

Tu as dis

"Dans le truc 'image/', faut que j'écrive le nom du dossier ? C'est ce que j'ai fait... Sauf qu'il m'indique toujours que le fichier envoyer n'est pas une image. "

Ce à quoi j'avais répondu
"Et pour image/ , il ne faut pas le remplacer, ce n'est pas un répertoire, c'est le début du type MIME image , ex : image/png. "

As-tu bien laissé "image/" ? ça peut venir de là

Bonne chance !