sécuriser upload fichier csv.gz

  • Auteur de la discussion Auteur de la discussion eskimo
  • Date de début Date de début
WRInaute discret
Salut,
Petite question pour les devs qui ont l'habitude de travailler avec les flux partenaires des plateformes d'affiliations.

Via un script PHP sur mon serveur je :
- récupère une archive .csv.gz ( un catalogue partenaire)
- la copie
- la décompresse et enregistre le nouveau fichier .csv pour pouvoir travailler avec ( en gros envoyer en base de données)

Je me pose la question de la sécurité. Les sites d'affiliation sont super connus et sérieux mais personne n'est à l'abri d'une faille et donc je me sens pas à l'aise d'upload sur mon serveur des fichiers tiers.

Comment gérez-vous la sécurité dans ce genre de cas... hormis la solution de travailler sur un serveur spécifique qui ne ferrait que ce genre d'opérations "risquées"

Merci d'avance pour vos réponses.
 
WRInaute impliqué
Il n'y a pas à stresser, tant que tu choisis le nom de ces fichiers et ne les mets pas dans un dossier accessible depuis une URL (en clair : tant qu'il n'y a pas moyen de placer un fichier .php et de l'appeler depuis un navigateur).
 
WRInaute discret
Salut colonies et merci pour ta réposne.
Je choisi bien le nom de mes fichiers en .gz et ensuite décompression en .csv
Le dossier est accessible depuis une URL. A ton avis quelle est la meilleur façon pour toi de bloquer l'accès au dossier tout en laissant le contenu du dossier dispo pour les scripts sur le serveur qui travaillent dessus?
Est ce que tu peux STP indiquer ce qui te fait dire qu'en agissant ainsi il n'y a pas de stress à avoir.
Merci encore pour ton aide.
 
WRInaute impliqué
Je rejoins @colonies, le dossier ne devrait pas être accessible depuis une URL. Idéalement, il devrait se trouver dans un dossier en dehors de l'arborescence même du site (si ce n'est pas possible, y mettre un .htaccess le plus restrictif possible).

Veiller à ce que le dossier ne dispose pas de la permission d'exécution.
 
WRInaute discret
J'ai donc fait un chmod 700 (lire / écrire / exécuter uniquement pour le propriétaire) sur le dossier qui DL les archives et les décompresse.
NB : je suis obligé de laisser la permission exécution pour le propriétaire sinon le DL ne fonctionne pas (copie impossible)
Est-ce que cela vous semble cohérent?
 
Dernière édition:
Discussions similaires
Haut