Dans ce tutoriel, nous verrons comment créer un script d'upload sécurisé.Premier danger : L'extension du fichierTout d'abord, il existe un problème simple, mais trop souvent négligé : L'extension du fichier !
Par exemple, sur un site d'envoi d'images : Seules quelques extensions d'images doivent êtres acceptées, et l'extension du fichier uploadé doit être systématiquement vérifiée.
Imaginez qu'un utilisateur mal intentionné uploade un fichier s'appelant "test.php", et contenant du code PHP : si le scripte uploade le fichier et le rend accessible, il pourra avoir un accès complet aux bases de données du site, et pourra se servir de votre serveur comme proxy, plateforme d'envoi de spam, client Peer-to-peer... Voire pire.

Pour vérifier l'extension du fichier, il suffit d'utiliser la fonction strrchr(), qui trouve la dernière occurrence d'un caractère dans une chaîne, puis retourne la fin de cette chaîne.
Par exemple :

Code : PHP
echo strrchr('test.php', '.');
Affichera ".php"
Pour retirer le ".", il suffit de faire :

Code : PHP
echo substr(strrchr('test.php', '.'), 1);
Donc, pour vérifier que l'extension fait partie d'un panel d'extensions correcte, il va falloir faire :

Code : PHP
$extensionsAutorisees = array('png', 'gif', 'jpg', 'txt', 'pdf'); // Liste des extensions autorisées, en minuscule
$extension = strtolower(substr(strrchr($_FILES['monFichier']['name'], '.'), 1)); // On récupère l'extension du fichier
if(! in_array($extension, $extensionsAutorisees))
die('Extension incorrecte !');
Ce code va vérifier que le fichier uploadé nommé "monFichier" a bien une extension correcte, et, si ce n'est pas le cas, il va arréter le script en affichant "Extension incorrecte !".

mais comment l exploiter ? :

c'est trés simple , nous allons télécharger un module firefox qui s appelle tamper data.


donc , télécharger le ici :
https://addons.mozilla.org/en-US/firefox/addon/966