Liste de contrôle de sécurité pour le téléchargement d'images PHP : protection complète

Pour garantir la sécurité de votre script de téléchargement d'images PHP, la mise en œuvre de mesures de sécurité approfondies est cruciale. Voici une liste de contrôle complète pour vous guider :

1. Désactiver l'exécution PHP : Empêcher l'exécution du code PHP dans le répertoire de téléchargement à l'aide d'un fichier .htaccess.
2. Filtrer pour PHP dans les noms de fichiers : Rejeter les téléchargements dont les noms de fichiers contiennent « php ».
3. Restreindre le fichier Extensions : Limitez les extensions de fichiers acceptées aux images (par exemple, jpg, jpeg, gif, png).
4. Vérifiez le type d'image : Utilisez getimagesize() pour confirmer que les fichiers téléchargés sont authentiques types d'images.
5. Interdire les extensions de fichiers doubles : Recherchez les fichiers avec plusieurs barres obliques dans leur type MIME, indiquant une tentative potentielle de téléchargement. une image avec un script malveillant.
6. Renommer le fichier : Modifiez le nom du fichier téléchargé pour empêcher toute exploitation via des noms de fichiers prévisibles.
7. Télécharger vers un sous-répertoire : Stockez les images téléchargées dans un sous-répertoire pour empêcher l'accès direct au site Web.

Supplémentaire Recommandations :

• **Utilisez move_uploaded_file() : attribuez les fichiers téléchargés au chemin de destination à l'aide de move_uploaded_file().
• Traitement GD (ou Imagick) : Restituez le rendu des images téléchargées à l'aide de GD ou d'Imagick pour atténuer les menaces potentielles.
• Téléchargement restrictif Répertoire : Gardez les répertoires de téléchargement très restreints pour empêcher toute exploitation.