cocco

Merci pour ton aide Sarc,

J'ai trouvé un compromis global et l'ai déjà mis en place.

Dans ta signature, se sont tes sites

Ce serai l'idéal, j'avais pensé a vérifier qu'il n'y a pas de ftp:// http:// https://

ou la virée simplement de la requête GET

Merci pour le lien, je test a l'instant et je te dis quoi.

Pour évité d'ouvrir un fichier qui vire la base de donnée ou qui supprime tout les pages du serveur.

J'ai testé, ça marche nickel

Chaque membre qui reçois une pièce joint a un lien

download.php?name=files/hashfiles.extension.

J'imaginai pourvoir forcer le download, comme je l'ai vue sur un grand nombre de forum avec le code source.

Ou alors je devrai trouver une autre solution tel que Zipper le fichier a l'envoi.

Bonjour a tous et toutes.

Je suis le fondateur d'un nouveau type de réseau-social évolutif.

Je donne la possibilité aux membres d'envoyer sur le serveur des fichiers allant jusqu'à 32 Mo.

Mon problème est le suivant, pour évité les pirates en tout genre (comme moi ) je voudrai forcer le download de tout fichier.

De cette façon la brèche existante se refermera.

De plus je ne sais pas comment mis prendre pour empêcher l'ouverture d'une page tierce tel que google ou LePetitPirateTropMalin par injection GET.

Voici la source actuelle

// infos du fichier $name = $_GET['name'].';
$fichier = $_GET['name']; 
$nom_fichier = strrchr($fichier, 'files/');


// téléchargement du fichier
header('Content-disposition: attachment; filename='.$nom_fichier);
header('Content-Type: application/force-download');
header('Content-Transfer-Encoding: fichier');
header('Content-Length: '.filesize($fichier));
header('Pragma: no-cache');
header('Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0');
header('Expires: 0');
readfile($fichier);