Cacher une image dans un php

    18 Juil 2012  

      Cacher une image dans un php

J'ai dut me pencher sur ce point, complexe mais sympathique, de sécurité: Comment cacher un fichier image sur un serveur web ?
J'ai pensé à l'utilisation d'un .htaccess, mais ne voulant pas utiliser d'htaccess, pour que ce soit utilisable pour le plus de monde ( des hébergeurs gratuits bloquent les fichiers de configuration apache ... d'autres sont sous ISS, etc ... ), puis c'est bien plus drôle de tout faire soit même !

Attention: Pour exécuter ce script exemple, il faut indiquer un fichier image (jpeg ou png) correct dans $input

Pour plus de sécurité, on bloque les appelles directs sur tous les php générés par le système.

Ici, on ne va même pas stocker le fichier image. On va générer un php (contenant) qui contient la valeur hexadécimale de l'image.

Dès qu'on appelle le contenant, il recrée l'image avec un nom généré avec deux rand() et un md5, puis il génère un autre php (afficheur) qui, avec GD, va devenir une copie de l'image recréée et va la supprimer instantanément pour que aucun utilisateur n'ai un accès direct au fichier d'origine.

Après ce travail minutieux, le contenant appelle l'afficheur via une balise . Tadada, notre image est affichée sans être contenue directement sur le serveur.

Cette méthode présente le défaut de doubler le poids de l'image: en effet, chaque valeur hexadécimale de l'image ( ex: e4 ), vas être convertie en une chaine de caractère ascii pour pouvoir être stockée sans causer de bug; Donc notre octet e4 vas devenir deux octets: 65 34 ( 65 étant e, et 34 étant 4 ).
lovenunu 18 Juil 2012
# Catégorie Compatibilité Nombre de vues Site Archive
   Sécurité PHP 4, PHP 5, PHP 7 3 966  

       Code Source PHP


 
 01    
 02    
 03    
 04    
 05    
 06    
 07    
 08    
 09    
 10    
 11    
 12    
 13    
 14    
 15    
 16    
 17    
 18    
 19    
 20    
 21    
 22    
 23    
 24    
 25    
 26    
 27    
 28    
 29    
 30    
 31    
 32    
 33    
 34    
 35    
 36    
 37    
 38    
 39    
 40    
 41    
 42    
 43    
 44    
 45    
 46    
 47    
 48    
 49    
 50    
 51    
 52    
 53    
 54    
 55    
 56    
 57    
 58    
 59    
 60    
 61    
 62    
 63    
 64    
 65    
 66    
 67    
 68    
 69    
 70    
 71    
 72    
 73    
 74    
 75    
 76    
 77    
 78    
 79    
 80    
 81    
 82    
 83    
 84    
 85    
 86    
 87    
 88    
 89    
 90    
 91    
 92    
 93    
 94    
 95    
 96    
 97    
 98    
 99    
 100    
 101    
 102    
 103    
 104    
 105    
 106    
 107    
 108    
 109    
 110    
 111    
 112    
 113    
 114    
 115    
 116    
 117    
 118    
 119    
 120    
 121    
 122    
 123    
 124    
 125    
 126    
 127    
 128    
 129    
 130    
 131    
 132    
 133    
 134    
 135    
 136    
 137    
 138    
 139    
 140    
 141    
 142    
 143    
 144    
 145    
 146    
 147    
 148    
 149    
 150    
 151    
 152    
 153    
 154    
 155    
 156    
 157    
 158    
 159    
 160    
 161    
 162    
 163    
 164    
 165    
 166    
 167    
 168    
 169    
 170    
 171    
 172    
 173    
 174    
 175    
 176    
 177    
 178    
 179    
 180    
 181    
 182    
 183    
 184    
 185    
 186    
 187    
 188    
 189    
 190    
 191    
 192    
 193    
                               
<?php
/**************************************************************************************/
/*
     Titre  : Cacher une image dans un php                                                                                
                                                                                                                          
     URL    :  
     https://phpsources.net/code/php/securite/659_cacher-une-image-dans-un-php
     Auteur         : lovenunu                                                                                            
     Date edition   : 18 Juil 2012                                                                                        
*/
/**************************************************************************************/
/* 
Démonstration de l'encodage d'une image
dans un fichier php, et de son affichage.
!!Je ne me suis pas renseignées sur les possibilités des htaccess dans ce
 domaine.!!
Pour la petite histoire, je travaille en ce moment avec une photographe qui a
 besoin de "Galleries privées" sur son site.
Ma problèmatique a été la suivante: comment garder des images complétement
 inaccessibles du grand public ?
Car même si on upload notre photo dans une suite de dossiers aux noms plus
 bizarres les uns que les autres,
un pirate lambda peut la retrouver, surtout si il arrive à s'introduire dans la
 base de données, et que l'adresse de ladite photo
est stockée dans cette base de données.
Le but de ce script est de pouvoir héberger des images, sans avoir le fichier
 image d'origine,
et donc de pouvoir bloquer les tentatives d'accès directe à l'image.
Ici, j'ai inclu une image libre de droit pour le teste,
Le but de ce script étant de le faire avec des images fraichement uploadées sur
 votre serveur.
*/
// Nos 3 variables d'entrée: $input est l'adresse de l'image, $output l'adresse
// du php, et $format le format de l'image
$input "screen.jpg";
$output "./images/screen.php";
$format "jpg";
// Déclaration des constantes pour passer les checks
define("IN",TRUE);
define("LOGIN""MyLogin"); // Login du membre
define("ID"23); // Id du membre
// On créé images si le dossier n'existe pas
if(!is_dir("images"))
    mkdir("images");
// Classe security, regroupe toutes les fonctions liées à la sécurisation de
// fihiers/flux
class security {
    // Simplification de l'écriture d'un fichier
    public function write_file($file$text) {
        file_exists($file) ? unlink($file): $ret=1
// Si le fichier existes, on le supprime
        $file fopen($file'a'); 
// On ouvre le nouveau fichier en mode a: écriture seule, ce mode créé le
// fichier automatiquement si il n'existe pas
        fputs($file$text); // On inscrit notre texte dans le ficheir
        fclose($file); // Et on le ferme
        return TRUE;
    }
    
    /* 
    Là, c'est la partie amusante ! :)
    Le but est d'afficher une image, sans que l'utilisateur n'ait accès au fichier
 original,
    pour ça, il n'y a pas dix-milles chemins, mon but est que l'image n'existe pas.
    Pour cela, il va falloir générer deux php, un servant à contenir l'image sous
 une forme lisible pour un humain,
    j'ai choisi d'enregistre chaque octet par son équivalent ascii hexadecimal.
    L'autre php sert afficher à afficher pour l'image.
    Le contenant recréé l'image à partir de l'encodage, en ajoutant la signature.
    Ensuite, il génére l'afficheur en fonction du nom généré, et appelle
 l'afficheur
    avec la balise html <img />.
    L'afficheur quand à lui utilise la librairie GD pour devenir une image png,
    composée uniquement de notre image d'origine, puis supprime instantanement
 l'image, pour que
    l'utilisateur ne puisse pas y avoir accès.
    */
    public function encode_file($file$goto$format) {
        $f fopen($file'rb'); // On ouvre le fichier en lecture binaire
        $r fread($ffilesize($file)); // On le lit entièrement 
        $hr=""// On créé notre buffer
        $z strlen($r);
        
// La boucle nous permet de stocker l'encodage décimal de chaque caractère ascii
// avec le séparateur
        // -
        for($i=0;$i<$z;$i++)
            $hr .= sprintf("%02X",ord($r{$i}));
        
        // Si le dossier de destination de l'afficheur n'existe pas, on le créé.
        if(!is_dir("./images/".LOGIN)) {
            mkdir("./images/".LOGIN);
        }
        
        
// Ici, la variable $addr prend au fur et à mesure la valeur de notre
// contenant
        // Tests de sécurité, pour éviter les appels directs
        $addr=
'<?php if(defined("IN") AND defined("ID") AND defined("LOGIN")) { ';
        
        
// On définie la variable $value_image qui contiens l'encodage de l'image
        $addr.='$value_image="'.$hr.'"; ';
        
        // la variable $format contiens le format png ou jpg de l'image
        $addr.='$format=".'.$format.'";';
        
        // On génére le nom de l'image
        $addr .='$gen=md5(rand(0,10000000).rand(0, 100000000));';
        
        // On donne à $fil l'adresse de l'image avec l'extension
        $addr.='$fil="./images/'.LOGIN.'/".$gen.$format;';
        
        
// On initialise $buf et on prend la longueur de $value_image pour définir la
// fin de la boucle
        $addr.='$nb=strlen($value_image); $buf="";';
        
        /* Boucle de réencodage de l'image
         à chaque loop, on prend un octet ( soit, deux termes hexadécimaux )
         On passe de la valeur hexa à la valeur décimale pour pouvoir utilier chr, qui
 est la réciproque de ord, et donc fonctionne avec
         des valeurs décimales. 
        */
        $addr.='for($i=0; $i<$nb;$i+=2) {';
        $addr.='$buf .= chr(hexdec(substr($value_image, $i, 2)));';
        
        
// Fin de la boucle, ajout de la signature et création du fichier image
// d'origine
        $addr.='} $buf.="Powered By BPImgHide"; $s->write_file($fil, $buf);';
        
        // $oh contient l'adresse de l'afficheur
        $addr.='$oh="./images/".LOGIN."/".LOGIN.".php";';
        
        
// Fonction à utiliser pour l'afficheur, on doit différencier la fonction pour
// jpeg et png 
        $addr.=
'$imgcreate = ($format == ".jpg") ? "imagecreatefromjpeg":"imagecreatefrompng";'
;
        
        /* Valeur de l'afficheur
         On déclare le Content-Type en image/png pour que php soit concidéré par le
 navigateur comme une image
         Ensuite, on donne à notre php/image la valeur de l'image à cacher
         Et on supprime l'image d'origine
        */
        $addr.=stripslashes(
'$addr=\'<?php if(file_exists("\'.$gen.$format.\'")) { header("Content-type:' .
' image/png"); $image = \'.$imgcreate.\'("\'.$gen.$format.\'"); imagepng($imag' .
'e); unlink("\'.$gen.$format.\'"); } ?>\';');
        
        // On inscrit l'afficheur dans son fichier
        $addr.='$s->write_file($oh, $addr);';
        
        // Et on l'appelle
        $addr.=stripslashes('print "<img src=\'\".$oh.\"\' alt=\'image\' />";');
        
        // Fin
        $addr.='} ?>';
        
        // Si l'écriteur du contenant est bonne, on retourne juste, sinon faux.
        if($this->write_file($goto$addr))
            return TRUE;
        else
            return FALSE;
    }
}
// On créé un nouvel objet security
$s = new security();
// On encode l'image et on la supprime
if(file_exists($input)) {
// On appelle la méthode encode_file qui va générer notre php
$s->encode_file($input$output$format);
// Puis on supprime l'image original
unlink($input);
}
?>
<html>
    <head>
        <title> Test de l'encodage </title>
        <meta http-equiv="Content-Type" content="text/html; charset=iso-8559-1" />
    </head>
    
    <body>
    <h2> Mon image cachée </h2>
    <?php include($output); ?>
    </body>
</html>

...  Manuel PHP - Fonctions du code source

   php.net  Description Versions PHP OUTIL
   define Définit une constante PHP 4, PHP 5, PHP 7
   fclose Ferme un fichier PHP 4, PHP 5, PHP 7
   filesize Lit la taille d'un fichier PHP 4, PHP 5, PHP 7
   file_exists Vérifie si un fichier ou un dossier existe PHP 4, PHP 5, PHP 7
   fopen Ouvre un fichier ou une URL PHP 4, PHP 5, PHP 7
   fputs Alias de fwrite() PHP 4, PHP 5, PHP 7
   fread Lecture du fichier en mode binaire PHP 4, PHP 5, PHP 7
   is_dir Indique si le fichier est un dossier PHP 4, PHP 5, PHP 7
   mkdir Crée un dossier PHP 4, PHP 5, PHP 7
   ord Retourne le code ASCII d'un caractère PHP 4, PHP 5, PHP 7
   sprintf Retourne une chaîne formatée PHP 4, PHP 5, PHP 7
   stripslashes Supprime les antislashs d'une chaîne PHP 4, PHP 5, PHP 7
   strlen Calcule la taille d'une chaîne PHP 4, PHP 5, PHP 7
   unlink Efface un fichier PHP 4, PHP 5, PHP 7
Logiciels PHP  

    Les dernières parutions de scripts PHP

PrestaShop 1.7.6.0

 
Langue drapeau fr
Date  aujourd'hui
Taille 59 Mo
Catégorie Ecommerce

PhpList 3.4.4

 
Langue drapeau us
Date 12 Juil
Taille 27 Mo
Catégorie Emailing

Joomla 3.9.10

 
Langue drapeau fr
Date 12 Juil
Taille 13 Mo
Catégorie CMS

TYPO3 9.5.8

 
Langue drapeau da
Date 10 Juil
Taille 35 Mo
Catégorie CMS


  • L'ajout de commentaire est libre et ne demande pas d'inscription,
  •   invité

nous vous encourageons à contribuer à l'utilisation de PHP en ajoutant vos remarques.