Cache une image dans un fichier PHP pour empêcher le hotlink

  Information

J'ai du me pencher sur ce point, complexe mais sympathique, de sécurité: Comment cacher un fichier image sur un serveur web pour empecher le hotlink ?
J'ai pensé à l'utilisation d'un .htaccess, mais ne voulant pas utiliser d'htaccess, pour que ce soit utilisable pour le plus de monde ( des hébergeurs gratuits bloquent les fichiers de configuration apache ... d'autres sont sous ISS, etc ... ), puis c'est bien plus drôle de tout faire soit même !

Attention: Pour exécuter ce script exemple, il faut indiquer un fichier image (jpeg ou png) correct dans $input

Pour plus de sécurité, on bloque les appelles directs sur tous les php générés par le système.

Ici, on ne va même pas stocker le fichier image. On va générer un fichier php (le contenant) qui va contenir la valeur hexadécimale de l'image.

Dès qu'on appelle le contenant, il recrée l'image avec un nom généré avec deux rand() et un md5, puis il génère un autre php (afficheur) qui, avec GD, va devenir une copie de l'image recréée et va la supprimer instantanément pour que aucun utilisateur n'ai un accès direct au fichier d'origine.

Après ce travail minutieux, le contenant appelle l'afficheur via une balise . Tadada, notre image est affichée sans être contenue directement sur le serveur.

Cette méthode présente le défaut de doubler le poids de l'image: en effet, chaque valeur hexadécimale de l'image ( ex: e4 ), vas être convertie en une chaine de caractère ascii pour pouvoir être stockée sans causer de bug; Donc notre octet e4 vas devenir deux octets: 65 34 ( 65 étant e, et 34 étant 4 ).

  code source classé dans  Sécurité

 
 01    
 02    
 03    
 04    
 05    
 06    
 07    
 08    
 09    
 10    
 11    
 12    
 13    
 14    
 15    
 16    
 17    
 18    
 19    
 20    
 21    
 22    
 23    
 24    
 25    
 26    
 27    
 28    
 29    
 30    
 31    
 32    
 33    
 34    
 35    
 36    
 37    
 38    
 39    
 40    
 41    
 42    
 43    
 44    
 45    
 46    
 47    
 48    
 49    
 50    
 51    
 52    
 53    
 54    
 55    
 56    
 57    
 58    
 59    
 60    
 61    
 62    
 63    
 64    
 65    
 66    
 67    
 68    
 69    
 70    
 71    
 72    
 73    
 74    
 75    
 76    
 77    
 78    
 79    
 80    
 81    
 82    
 83    
 84    
 85    
 86    
 87    
 88    
 89    
 90    
 91    
 92    
 93    
 94    
 95    
 96    
 97    
 98    
 99    
 100    
 101    
 102    
 103    
 104    
 105    
 106    
 107    
 108    
 109    
 110    
 111    
 112    
 113    
 114    
 115    
 116    
 117    
 118    
 119    
 120    
 121    
 122    
 123    
 124    
 125    
 126    
 127    
 128    
 129    
 130    
 131    
 132    
 133    
 134    
 135    
 136    
 137    
 138    
 139    
 140    
 141    
 142    
 143    
 144    
 145    
 146    
 147    
 148    
 149    
 150    
 151    
 152    
 153    
 154    
 155    
 156    
 157    
 158    
 159    
 160    
 161    
 162    
 163    
 164    
 165    
 166    
 167    
 168    
 169    
 170    
 171    
 172    
 173    
 174    
 175    
 176    
 177    
 178    
 179    
 180    
 181    
 182    
 183    
 184    
 185    
 186    
 187    
 188    
 189    
 190    
 191    
 192    
 193    
 194    
 195    
 196    
 197    
 198    
 199    
 200    
 201    
 202    
 203    
 204    
 205    
 206    
 207    
 208    
 209    
 210    
 211    
 212    
 213    
 214    
 215    
 216    
 217    
 218    
 219    
 220    
 221    
 222    
 223    
 224    
 225    
 226    
 227    
 228    
 229    
 230    
 231    
 232    
 233    
 234    
                               
<?php
/*---------------------------------------------------------------*/
/*
    Titre : Cache une image dans un fichier PHP pour emp&ecirc;cher le hotlink                                            
                                                                                                                          
    URL   : https://phpsources.net/code_s.php?id=659
    Auteur           : lovenunu                                                                                           
    Date Ã©dition     : 18 Juil 2012                                                                                       
    Date mise Ã  jour : 23 Aout 2019                                                                                      
    Rapport de la maj:                                                                                                    
    - fonctionnement du code vérifié                                                                                
    - maintenance du code                                                                                                 
*/
/*---------------------------------------------------------------*/

/*****************************************************/
/* 
Démonstration de l'encodage d'une image
dans un fichier php, et de son affichage.

!!Je ne me suis pas renseignées sur les possibilités des htaccess dans ce
 domaine.!!

Pour la petite histoire, je travaille en ce moment avec une photographe qui a
 besoin de "Galeries privées" sur son site.
Ma problématique a Ã©té la suivante: comment garder des images
 complètement
 inaccessibles du grand public ?
Car même si on upload notre photo dans une suite de dossiers aux noms plus
 bizarres les uns que les autres,
un pirate lambda peut la retrouver, surtout si il arrive Ã Â  s'introduire dans
 la
 base de données, et que l'adresse de ladite photo
est stockée dans cette base de données.

Le but de ce script est de pouvoir héberger des images, sans avoir le fichier
 image d'origine,
et donc de pouvoir bloquer les tentatives d'accès directe Ã Â  l'image.

Ici, j'ai inclue une image libre de droit pour le teste,
Le but de ce script Ã©tant de le faire avec des images fraichement
 uploadées sur
 votre serveur.
*/

// Nos 3 variables d'entrée: $input est l'adresse de l'image, $output
// l'adresse
// du php, et $format le format de l'image
$input "votreimage.jpg";
$output "./images/screen.php";
$format "jpg";

// Déclaration des constantes pour passer les checks
define("IN",TRUE);
define("LOGIN""MyLogin"); // Login du membre
define("ID"23); // Id du membre

// On créé images si le dossier n'existe pas
if(!is_dir("images"))
    mkdir("images");

// Classe security, regroupe toutes les fonctions liées Ã Â  la
// sécurisation de
// fihiers/flux
class security {

    // Simplification de l'écriture d'un fichier
    public function write_file($file$text) {
        file_exists($file) ? unlink($file): $ret=1
// Si le fichier existes, on le supprime
        $file fopen($file'a'); 
// On ouvre le nouveau fichier en mode a: Ã©criture seule, ce mode créé
// le
// fichier automatiquement si il n'existe pas
        fputs($file$text); // On inscrit notre texte dans le ficheir
        fclose($file); // Et on le ferme
        return TRUE;
    }
    
    /* 
    Là , c'est la partie amusante ! :)
    Le but est d'afficher une image, sans que l'utilisateur n'ait accès au
 fichier
 original,
    pour Ã Â§a, il n'y a pas dix-milles chemins, mon but est que l'image
 n'existe pas.
    Pour cela, il va falloir générer deux php, un servant Ã Â  contenir
 l'image sous
 une forme lisible pour un humain,
    j'ai choisi d'enregistre chaque octet par son Ã©quivalent ascii
 hexadecimal.
    L'autre php sert afficher Ã Â  afficher pour l'image.
    Le contenant recréé l'image Ã Â  partir de l'encodage, en ajoutant la
 signature.
    Ensuite, il génére l'afficheur en fonction du nom généré, et
 appelle
 l'afficheur
    avec la balise html <img />.
    L'afficheur quand Ã Â  lui utilise la librairie GD pour devenir une image
 png,
    composée uniquement de notre image d'origine, puis supprime
 instantanement
 l'image, pour que
    l'utilisateur ne puisse pas y avoir accès.
    */
    public function encode_file($file$goto$format) {
        $f fopen($file'rb'); // On ouvre le fichier en lecture binaire
        $r fread($ffilesize($file)); // On le lit entièrement 
        $hr=""// On créé notre buffer
        $z strlen($r);
        
// La boucle nous permet de stocker l'encodage décimal de chaque caractère
// ascii
// avec le séparateur
        // -
        for($i=0;$i<$z;$i++)
            $hr .= sprintf("%02X",ord($r{$i}));
        
        
// Si le dossier de destination de l'afficheur n'existe pas, on le créé.
        if(!is_dir("./images/".LOGIN)) {
            mkdir("./images/".LOGIN);
        }
        
        
// Ici, la variable $addr prend au fur et Ã Â  mesure la valeur de notre
// contenant
        // Tests de sécurité, pour Ã©viter les appels directs
        $addr=
'<?php if(defined("IN") AND defined("ID") AND defined("LOGIN")) { ';
        
        
// On définie la variable $value_image qui contiens l'encodage de l'image
        $addr.='$value_image="'.$hr.'"; ';
        
        // la variable $format contiens le format png ou jpg de l'image
        $addr.='$format=".'.$format.'";';
        
        // On génére le nom de l'image
        $addr .='$gen=md5(rand(0,10000000).rand(0, 100000000));';
        
        // On donne Ã Â  $fil l'adresse de l'image avec l'extension
        $addr.='$fil="./images/'.LOGIN.'/".$gen.$format;';
        
        
// On initialise $buf et on prend la longueur de $value_image pour définir la
// fin de la boucle
        $addr.='$nb=strlen($value_image); $buf="";';
        
        /* Boucle de réencodage de l'image
         Ã Â  chaque loop, on prend un octet ( soit, deux termes hexadécimaux
 )
         On passe de la valeur hexa Ã Â  la valeur décimale pour pouvoir
 utilier chr, qui
 est la réciproque de ord, et donc fonctionne avec
         des valeurs décimales. 
        */
        $addr.='for($i=0; $i<$nb;$i+=2) {';
        $addr.='$buf .= chr(hexdec(substr($value_image, $i, 2)));';
        
        
// Fin de la boucle, ajout de la signature et création du fichier image
// d'origine
        $addr.='} $buf.="Powered By BPImgHide"; $s->write_file($fil, $buf);';
        
        // $oh contient l'adresse de l'afficheur
        $addr.='$oh="./images/".LOGIN."/".LOGIN.".php";';
        
        
// Fonction Ã Â  utiliser pour l'afficheur, on doit différencier la fonction
// pour
// jpeg et png 
        $addr.=
'$imgcreate = ($format == ".jpg") ? "imagecreatefromjpeg":"imagecreatefrompng";'

;
        
        /* Valeur de l'afficheur
         On déclare le Content-Type en image/png pour que php soit
 concidéré par le
 navigateur comme une image
         Ensuite, on donne Ã Â  notre php/image la valeur de l'image Ã Â  cacher
         Et on supprime l'image d'origine
        */
        $addr.=stripslashes(
'$addr=\'<?php if(file_exists("\'.$gen.$format.\'")) { header("Content-type:' .
' image/png"); $image = \'.$imgcreate.\'("\'.$gen.$format.\'"); imagepng($imag' 
.
'e); unlink("\'.$gen.$format.\'"); } ?>\';');
        
        // On inscrit l'afficheur dans son fichier
        $addr.='$s->write_file($oh, $addr);';
        
        // Et on l'appelle
        $addr.=stripslashes('print "<img src=\'\".$oh.\"\' alt=\'image\' />";');
        
        // Fin
        $addr.='} ?>';
        
        
// Si l'écriteur du contenant est bonne, on retourne juste, sinon faux.
        if($this->write_file($goto$addr))
            return TRUE;
        else
            return FALSE;
    }

}

    // On créé un nouvel objet security
    $s = new security();

    // On encode l'image et on la supprime
    if(file_exists($input)) {
    // On appelle la méthode encode_file qui va générer notre php
    $s->encode_file($input$output$format);
    // Puis on supprime l'image original
    unlink($input);
    }
?>

<html>
    <head>
        <title> Test de l'encodage </title>
        <meta http-equiv="Content-Type" content="text/html; charset=iso-8559-1"
 />
    </head>
    
    <body>
    <h2> Mon image cachée </h2>
    <?php include($output); ?>
    </body>
</html>

Exemple :

 
 01    
 02    
 03    
 04    
 05    
                                
    Print :
    <h2> Mon image cachée </h2>
    <img src="./images/MyLogin/MyLogin.php" alt="image">

          Fonctions du code - Doc officielle PHP

   php.net   Description Versions PHP OUTIL
   define Définit une constante PHP 4, PHP 5, PHP 7, PHP 8
   fclose Ferme un fichier PHP 4, PHP 5, PHP 7, PHP 8
   filesize Renvoie la taille d'un fichier PHP 4, PHP 5, PHP 7, PHP 8
   file_exists Vérifie si un fichier existe PHP 4, PHP 5, PHP 7, PHP 8
   fopen Ouverture d'un fichier ou d'une URL PHP 4, PHP 5, PHP 7, PHP 8
   fputs Alias de fwrite() PHP 4, PHP 5, PHP 7, PHP 8
   fread Lecture du fichier en mode binaire PHP 4, PHP 5, PHP 7, PHP 8
   is_dir Indique si le fichier est un dossier PHP 4, PHP 5, PHP 7, PHP 8
   mkdir Crée un dossier PHP 4, PHP 5, PHP 7, PHP 8
   ord Retourne le code ASCII d'un caractère PHP 4, PHP 5, PHP 7, PHP 8
   return Retourne le controle du programme au module appelant. PHP 4, PHP 5, PHP 7, PHP 8
   sprintf Retourne une chaîne formatée PHP 4, PHP 5, PHP 7, PHP 8
   stripslashes Supprime les anti-slash d'une chaîne PHP 4, PHP 5, PHP 7, PHP 8
   strlen Calcule la taille d'une chaîne PHP 4, PHP 5, PHP 7, PHP 8
   unlink Efface un fichier PHP 4, PHP 5, PHP 7, PHP 8

   Dites merci aux auteurs pour leurs travail, ça ne coûte rien et ça fait toujours plaisir wink

 Autres snippets qui pourraient vous intéressez

Empêche la page d'être stockée dans le cache

Compatibilité : PHP 5, PHP 7

Empêche la page d'être stockée dans le cache du navigateur. Veiller à ne pas mettre de sortie print (du HTML par exemple) avant ce bout de code.

Empêche 1 page d'etre stockée en cache

Compatibilité : PHP 5, PHP 7

Empêche la page d'etre stockée en cache. Utile pour des espaces membres et pour empêcher le hack du cache navigateur.

Écrire un texte dans une image PNG avec PHP

Compatibilité : PHP 5, PHP 7

Images PHP- Choisir le texte et le placer ou vous voulez sur l'image - Choisir la couleur de fond de l'image et choisir la dimension de l'image en pixel

Code pour convertir dans un format Latin ou UTF8 - PHP Sources

Compatibilité : PHP 4, PHP 5

Ce script va mettre a jour vos tables dans le format que vous souhaitez. Il est vivement recommandé de faire une sauvegarde de votre database avant de lancer ce script

Ecrire un texte dans une image avec retour à la ligne automatique - PHP Sources

Compatibilité : PHP 5, PHP 7

Cette fonction vous permettra d'intégrer du texte sur une image avec un retour à la ligne automatique au bout d'une longueur de texte définie sans

Présentation de PHP

PHP débutant et initié 50 Tutoriel

Présentation de MySQL

avatar

Lovenunu

  18 Juil 2012

  SOURCE   Télécharger

Information sur les mises à jour

Dernière mise à jour :

    23 Aout 2019
    fonctionnement du code vérifié
    maintenance du code

6 791 Vues
Compatibilité
PHP 5, 7 et 8+