Cache une image dans un fichier PHP pour empêcher le hotlink

Information

J'ai du me pencher sur ce point, complexe mais sympathique, de sécurité: Comment cacher un fichier image sur un serveur web pour empecher le hotlink ?
J'ai pensé à l'utilisation d'un .htaccess, mais ne voulant pas utiliser d'htaccess, pour que ce soit utilisable pour le plus de monde ( des hébergeurs gratuits bloquent les fichiers de configuration apache ... d'autres sont sous ISS, etc ... ), puis c'est bien plus drôle de tout faire soit même !

Attention: Pour exécuter ce script exemple, il faut indiquer un fichier image (jpeg ou png) correct dans $input

Pour plus de sécurité, on bloque les appelles directs sur tous les php générés par le système.

Ici, on ne va même pas stocker le fichier image. On va générer un fichier php (le contenant) qui va contenir la valeur hexadécimale de l'image.

Dès qu'on appelle le contenant, il recrée l'image avec un nom généré avec deux rand() et un md5, puis il génère un autre php (afficheur) qui, avec GD, va devenir une copie de l'image recréée et va la supprimer instantanément pour que aucun utilisateur n'ai un accès direct au fichier d'origine.

Après ce travail minutieux, le contenant appelle l'afficheur via une balise . Tadada, notre image est affichée sans être contenue directement sur le serveur.

Cette méthode présente le défaut de doubler le poids de l'image: en effet, chaque valeur hexadécimale de l'image ( ex: e4 ), vas être convertie en une chaine de caractère ascii pour pouvoir être stockée sans causer de bug; Donc notre octet e4 vas devenir deux octets: 65 34 ( 65 étant e, et 34 étant 4 ).

code source classé dans Sécurité

01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222

                               
                            <?php
/*---------------------------------------------------------------*/
/*
    Titre : Cache une image dans un fichier PHP pour emp&ecirc;cher le hotlink                                            
                                                                                                                          
    URL   : https://phpsources.net/code_s.php?id=659
    Auteur           : lovenunu                                                                                           
    Date édition     : 18 Juil 2012                                                                                       
    Date mise à jour : 23 Aout 2019                                                                                      
    Rapport de la maj:                                                                                                    
    - fonctionnement du code vérifié                                                                                    
    - maintenance du code                                                                                                 
*/
/*---------------------------------------------------------------*/

/*****************************************************/
/* 
Démonstration de l'encodage d'une image
dans un fichier php, et de son affichage.

!!Je ne me suis pas renseignées sur les possibilités des htaccess dans ce
 domaine.!!

Pour la petite histoire, je travaille en ce moment avec une photographe qui a
 besoin de "Galeries privées" sur son site.
Ma problématique a été la suivante: comment garder des images complètement
 inaccessibles du grand public ?
Car même si on upload notre photo dans une suite de dossiers aux noms plus
 bizarres les uns que les autres,
un pirate lambda peut la retrouver, surtout si il arrive à s'introduire dans la
 base de données, et que l'adresse de ladite photo
est stockée dans cette base de données.

Le but de ce script est de pouvoir héberger des images, sans avoir le fichier
 image d'origine,
et donc de pouvoir bloquer les tentatives d'accès directe à l'image.

Ici, j'ai inclue une image libre de droit pour le teste,
Le but de ce script étant de le faire avec des images fraichement uploadées
 sur
 votre serveur.
*/

// Nos 3 variables d'entrée: $input est l'adresse de l'image, $output l'adresse
// du php, et $format le format de l'image
$input = "votreimage.jpg";
$output = "./images/screen.php";
$format = "jpg";

// Déclaration des constantes pour passer les checks
define("IN",TRUE);
define("LOGIN", "MyLogin"); // Login du membre
define("ID", 23); // Id du membre

// On créé images si le dossier n'existe pas
if(!is_dir("images"))
    mkdir("images");

// Classe security, regroupe toutes les fonctions liées à la sécurisation de
// fihiers/flux
class security {

    // Simplification de l'écriture d'un fichier
    public function write_file($file, $text) {
        file_exists($file) ? unlink($file): $ret=1; 
// Si le fichier existes, on le supprime
        $file = fopen($file, 'a'); 
// On ouvre le nouveau fichier en mode a: écriture seule, ce mode créé le
// fichier automatiquement si il n'existe pas
        fputs($file, $text); // On inscrit notre texte dans le ficheir
        fclose($file); // Et on le ferme
        return TRUE;
    }
    
    /* 
    Là, c'est la partie amusante ! :)
    Le but est d'afficher une image, sans que l'utilisateur n'ait accès au
 fichier
 original,
    pour ça, il n'y a pas dix-milles chemins, mon but est que l'image n'existe
 pas.
    Pour cela, il va falloir générer deux php, un servant à contenir l'image
 sous
 une forme lisible pour un humain,
    j'ai choisi d'enregistre chaque octet par son équivalent ascii hexadecimal.
    L'autre php sert afficher à afficher pour l'image.
    Le contenant recréé l'image à partir de l'encodage, en ajoutant la
 signature.
    Ensuite, il génére l'afficheur en fonction du nom généré, et appelle
 l'afficheur
    avec la balise html <img />.
    L'afficheur quand à lui utilise la librairie GD pour devenir une image png,
    composée uniquement de notre image d'origine, puis supprime instantanement
 l'image, pour que
    l'utilisateur ne puisse pas y avoir accès.
    */
    public function encode_file($file, $goto, $format) {
        $f = fopen($file, 'rb'); // On ouvre le fichier en lecture binaire
        $r = fread($f, filesize($file)); // On le lit entièrement 
        $hr=""; // On créé notre buffer
        $z = strlen($r);
        
// La boucle nous permet de stocker l'encodage décimal de chaque caractère
// ascii
// avec le séparateur
        // -
        for($i=0;$i<$z;$i++)
            $hr .= sprintf("%02X",ord($r{$i}));
        
        
// Si le dossier de destination de l'afficheur n'existe pas, on le créé.
        if(!is_dir("./images/".LOGIN)) {
            mkdir("./images/".LOGIN);
        }
        
        
// Ici, la variable $addr prend au fur et à mesure la valeur de notre
// contenant
        // Tests de sécurité, pour éviter les appels directs
        $addr=
'<?php if(defined("IN") AND defined("ID") AND defined("LOGIN")) { ';
        
        
// On définie la variable $value_image qui contiens l'encodage de l'image
        $addr.='$value_image="'.$hr.'"; ';
        
        // la variable $format contiens le format png ou jpg de l'image
        $addr.='$format=".'.$format.'";';
        
        // On génére le nom de l'image
        $addr .='$gen=md5(rand(0,10000000).rand(0, 100000000));';
        
        // On donne à $fil l'adresse de l'image avec l'extension
        $addr.='$fil="./images/'.LOGIN.'/".$gen.$format;';
        
        
// On initialise $buf et on prend la longueur de $value_image pour définir la
// fin de la boucle
        $addr.='$nb=strlen($value_image); $buf="";';
        
        /* Boucle de réencodage de l'image
         à chaque loop, on prend un octet ( soit, deux termes hexadécimaux )
         On passe de la valeur hexa à la valeur décimale pour pouvoir utilier
 chr, qui
 est la réciproque de ord, et donc fonctionne avec
         des valeurs décimales. 
        */
        $addr.='for($i=0; $i<$nb;$i+=2) {';
        $addr.='$buf .= chr(hexdec(substr($value_image, $i, 2)));';
        
        
// Fin de la boucle, ajout de la signature et création du fichier image
// d'origine
        $addr.='} $buf.="Powered By BPImgHide"; $s->write_file($fil, $buf);';
        
        // $oh contient l'adresse de l'afficheur
        $addr.='$oh="./images/".LOGIN."/".LOGIN.".php";';
        
        
// Fonction à utiliser pour l'afficheur, on doit différencier la fonction pour
// jpeg et png 
        $addr.=
'$imgcreate = ($format == ".jpg") ? "imagecreatefromjpeg":"imagecreatefrompng";'

;
        
        /* Valeur de l'afficheur
         On déclare le Content-Type en image/png pour que php soit concidéré
 par le
 navigateur comme une image
         Ensuite, on donne à notre php/image la valeur de l'image à cacher
         Et on supprime l'image d'origine
        */
        $addr.=stripslashes(
'$addr=\'<?php if(file_exists("\'.$gen.$format.\'")) { header("Content-type:' .
' image/png"); $image = \'.$imgcreate.\'("\'.$gen.$format.\'"); imagepng($imag' 
.
'e); unlink("\'.$gen.$format.\'"); } ?>\';');
        
        // On inscrit l'afficheur dans son fichier
        $addr.='$s->write_file($oh, $addr);';
        
        // Et on l'appelle
        $addr.=stripslashes('print "<img src=\'\".$oh.\"\' alt=\'image\' />";');
        
        // Fin
        $addr.='} ?>';
        
        // Si l'écriteur du contenant est bonne, on retourne juste, sinon faux.
        if($this->write_file($goto, $addr))
            return TRUE;
        else
            return FALSE;
    }

}

    // On créé un nouvel objet security
    $s = new security();

    // On encode l'image et on la supprime
    if(file_exists($input)) {
    // On appelle la méthode encode_file qui va générer notre php
    $s->encode_file($input, $output, $format);
    // Puis on supprime l'image original
    unlink($input);
    }
?>

<html>
    <head>
        <title> Test de l'encodage </title>
        <meta http-equiv="Content-Type" content="text/html; charset=iso-8559-1"
 />
    </head>
    
    <body>
    <h2> Mon image cachée </h2>
    <?php include($output); ?>
    </body>
</html>

Exemple :

01
02
03
04
05

                                
                                Print :
    <h2> Mon image cachée </h2>
    <img src="./images/MyLogin/MyLogin.php" alt="image">

Fonctions du code - Doc officielle PHP

php.net	Description	Versions PHP
define	Définit une constante	PHP 4, PHP 5, PHP 7, PHP 8

fclose	Ferme un fichier	PHP 4, PHP 5, PHP 7, PHP 8

filesize	Renvoie la taille d'un fichier	PHP 4, PHP 5, PHP 7, PHP 8

file_exists	Vérifie si un fichier existe	PHP 4, PHP 5, PHP 7, PHP 8

fopen	Ouverture d'un fichier ou d'une URL	PHP 4, PHP 5, PHP 7, PHP 8

fputs	Alias de fwrite()	PHP 4, PHP 5, PHP 7, PHP 8

fread	Lecture du fichier en mode binaire	PHP 4, PHP 5, PHP 7, PHP 8

is_dir	Indique si le fichier est un dossier	PHP 4, PHP 5, PHP 7, PHP 8

mkdir	Crée un dossier	PHP 4, PHP 5, PHP 7, PHP 8

ord	Retourne le code ASCII d'un caractère	PHP 4, PHP 5, PHP 7, PHP 8

return	Retourne le controle du programme au module appelant.	PHP 4, PHP 5, PHP 7, PHP 8

sprintf	Retourne une chaîne formatée	PHP 4, PHP 5, PHP 7, PHP 8

stripslashes	Supprime les anti-slash d'une chaîne	PHP 4, PHP 5, PHP 7, PHP 8

strlen	Calcule la taille d'une chaîne	PHP 4, PHP 5, PHP 7, PHP 8

unlink	Efface un fichier	PHP 4, PHP 5, PHP 7, PHP 8

Dites merci aux auteurs pour leurs travail, ça ne coûte rien et ça fait toujours plaisir

Autres snippets qui pourraient vous intéressez

27 Sept 2019

18 Juil 2012

Empêche la page d'être stockée dans le cache

Compatibilité : PHP 5, PHP 7

Empêche la page d'être stockée dans le cache du navigateur. Veiller à ne pas mettre de sortie print (du HTML par exemple) avant ce bout de code.

11 Aout 2019

18 Juil 2012

Empêche 1 page d'etre stockée en cache

Compatibilité : PHP 5, PHP 7

Empêche la page d'etre stockée en cache. Utile pour des espaces membres et pour empêcher le hack du cache navigateur.

27 Mars 2020

Écrire un texte dans une image PNG avec PHP

Compatibilité : PHP 5, PHP 7

Images PHP- Choisir le texte et le placer ou vous voulez sur l'image - Choisir la couleur de fond de l'image et choisir la dimension de l'image en pixel

29 Jan 2008

Code pour convertir dans un format Latin ou UTF8 - PHP Sources

Compatibilité : PHP 4, PHP 5

Ce script va mettre a jour vos tables dans le format que vous souhaitez. Il est vivement recommandé de faire une sauvegarde de votre database avant de lancer ce script

15 Fév 2019