[PHP] Est-ce sécurisé?

[Audiofeeline]

Voilà mon code :

<?php
$dossier = opendir($swf);
while ($Fichier = readdir($dossier)) {
if ($Fichier != "." && $Fichier != "..") {
$nomFichier = $Fichier;
$i++;
if($i==5){echo "<br />"; $i=0;}
echo "<a href=$folder/$nomFichier>$nomFichier</a>";
echo " - ";
}
}
closedir($dossier);
?>

Est-ce qu'il y a une faille?
Merci!

PS : ça liste les fichiers dans un dossier...

 

[Suede]

Voilà mon code :

<?php
$dossier = opendir($swf);
while ($Fichier = readdir($dossier)) {
if ($Fichier != "." && $Fichier != "..") {
$nomFichier = $Fichier;
$i++;
if($i==5){echo "<br />"; $i=0;}
echo "<a href=$folder/$nomFichier>$nomFichier</a>";
echo " - ";
}
}
closedir($dossier);
?>

Est-ce qu'il y a une faille?
Merci!

PS : ça liste les fichiers dans un dossier...

Comment obtiendras tu $swf ?

 

[gastro]

Bon, je suis pas un spécialiste, mais je dirais qu'il y a danger sur $swf

Soit c'est toi qui le détermine dans ton script et tu débute avec
$swf="mondossier";
Et la pas de problème à priori

Soit $swf est récupéré par une méthode GET ou POST et là quelqu'un pourrait bidouiller le chemin pour se balader sur ton serveur et lister tes fichiers.
Tu devrais dans ce cas vérifier $swf de manière assez restrictive (interdire les carctères \ et . par exemple, ou autoriser uniquement une liste prédéfinie de répertoires accessibles), vérifier que $swf est arrivé par la méthode GET ou POST et éventuellement la page précédente (d'où doit venir le visiteur, de index.php par exemple).

Mes conseils font un peu "bricolou" mais j'aurais bossé comme ça.
Un spécialiste de la sécurité pour compléter?

 

[Audiofeeline]

<?php
$dossier = opendir(swf);
while ($Fichier = readdir($dossier)) {
if ($Fichier != "." && $Fichier != "..") {
$nomFichier = $Fichier;
$i++;
if($i==5){echo "<br />"; $i=0;}
echo "<a href=swf/$nomFichier>$nomFichier</a>";
echo " - ";
}
}
closedir($dossier);
?>

Y'avais une petite erreur...

 

[Serious]

$folder?

 

[Audiofeeline]

Edité, j'suis vraiment à la ramasse ce soir moa... :evil: