Traduction Menu de la version anglaise Espace Wiki ∂'Alembert Espace Guide de survie du SysAdmin Espace Guide de survie du Développeur Espace Institut ∂’Alembert Le Site Aide PmWikiFr Help PmWiki |
La traduction de cette page est à vérifier PmWiki possède une fonction codée dans Quelques notes à propos de sécurité.1. Garder à l'esprit que permettre aux utilisateurs (anonymement !) de télécharger des fichiers sur votre serveur web entraîne un certain nombre de risques. Le script 2. Par défaut, les utilisateurs autorisés peuvent écraser les fichiers téléchargés auparavant, sans possibilité de restaurer la version précédente de ces fichiers. Si vous ne voulez pas permettre aux utilisateurs d'écraser les fichiers déjà transférés, ajoutez la ligne suivante dans votre config.php: $EnableUploadOverwrite = 0; Base de l'installationLe script upload.php est automatiquement inclus depuis le fichier stdconfig.php si la variable Aussi, un fichier config.php de base paramétré pour le téléchargement devrait ressembler à ça: <?php Pour que les transferts fonctionnent correctement, le dossier désigné par Par exemple, pour que le dossier upload soit installé dans " Une fois les transferts de fichiers mis en route, les utilisateurs peuvent accéder au formulaire des téléchargements en ajoutant "?action=upload" à la fin d'une URL normale de PmWiki. Un mot de passe pour effectuer le transfert sera alors demandé aux utilisateurs de la même manière quand d'autres pages requièrent un mot de passe pour d'autres permissions (voir Mots de passe et Administration des mots de passe pour savoir comment établir des mots de passe sur des pages, des groupes, ou sur le site globalement). Une autre façon d'accéder au formulaire de téléchargement est d'insérer le code " Par défaut, PmWiki organise les fichier téléchargés dans des sous-dossiers séparés pour chaque groupe. Ceci peut être changer en modifiant la variable Restrictions sur les fichiers téléchargésLe scripte upload.php effectue un certain nombre de vérifications sur un fichier téléchargé avant de l'enregistrer dans le dossier upload. Ces vérifications sont décrites ci-dessous. noms de fichier - le nom pour un fichier téléchargé peut être composé de lettres, de chiffres, de soulignés (underscore), de traits d'union et de points et il doit commencer et se terminer par une lettre ou un chiffre. extension de fichier - seuls les fichiers avec des extensions volontairement approuvées[1] telles que ".gif", ".jpg", ".doc", etc. sont autorisés à être transférer sur le serveur web. Ceci est d'une importance capitale pour la sécurité du serveur, car celui-ci pourrait essayer d'exécuter ou de traiter spécifiquement des fichiers avec de extensions comme ".php", ".cgi", etc. taille des fichiers - Par défaut upload.php limite tous les téléchargements à 50K de part la valeur spécifiée dans la variable $UploadMaxSize = 100000; Cependant, upload.php permet de préciser la taille maximum des fichiers pour chaque type de téléchargement. Ainsi, un administrateur peut restreindre les ".gif" et les ".jpeg" à 20K, les ".doc"
à 200K, et tous les autres à la taille indiquée par $UploadExtSize['gif'] = 20000; # limite les fichiers .gif à 20K Paraméter une entrée à zéro désactive complètement le téléchargement d'un type de fichier: $UploadExtSize['zip'] = 0; # interdit le transfert des fichiers .zip Un autre tableau de variables appelé
defini dans local/config.php autorise Pour interdire une extension autorisée par défaut[2], il faut remplir la variable $UploadBlacklist = array ('.bmp', '.cgi', '.exe', '.fla', '.hqx','.htm','.swf'); Deux autres facteurs sont impliqués dans l'affection de la limite de taille des fichiers transférés. Dans Apache 2.0, la directive PHP lui même possède deux limites sur les fichiers téléchargés. La première est le paramètre de taille maxi d'un fichier transféré (upload_max_size), fixé à 2M par défaut. Le second est la taille maxi d'un post (post_max_size), fixé à 6M par défaut. Avec les variables en jeu--taille maximum de transfert de PmWiki, la limite de taille des requêtes d'Apache, et les paramètres de taille de fichier propre à PHP, la taille maximum autorisée sera la plus petite de ces trois paramètres. Autres notes
Question La variable $UploadExts = array('gif','jpeg','jpg','png','ppt'); ne marche pas. Quelqu'un peut-il m'aider? << BackupAndRestore? | Index de la documentation | Sécurité >>
Traduction de PmWiki.UploadsAdmin
Page originale sur PmWikiFr.UploadsAdmin - Référencé par |