MAX_FILE_SIZE...
Patrice Chev�e
j'ai l'impression de d�terrer un vieux serpent de mer tant qu'il semblerait
que ce sujet ait �t� d�j� longuement d�battu sur ce newsgroup, ainsi que sur
des sites d'entraide.
Cependant ma question est tr�s stupide: � quoi peut bien servir la variable
MAX_FILE_SIZE que l'on met en input=hidden dans un formulaire d'envoi de
fichier? J'ai un moment pens� qu'elle servait au navigateur pour pr�venir
l'utilisateur instantan�ment (par un prompt genre alert(...) en cas de
fichier trop gros. Ca n'aurait pas �t� si b�te de mettre l'utilisateur au
courant aussit�t, plutot que de le laisser attendre apr�s X minutes d'upload
(X pouvant �tre �gal � plusieurs heures en cas de connexion lente...) que le
fichier soit refus� c�t� serveur.
MAis a priori non: cette variable ne sert pas � �a, et d'ailleurs les
navigateurs ne semblent pas lui accorder la moindre fonction particuli�re,
autre que celle d'�tre un param�tre hidden de formulaire. Donc ma question,
qui est double: cette variable est-elle utilis�e par php pour faire
automatiquement la v�rification de d�passement autoris� sans que le
webmestre aie � s'en occuper? (je ne connais pas php) Si oui, quel est
l'int�r�t de la fournir en param�tre, quand on sait qu'il est tr�s facile
pour un bidouilleur malintentionn� de modifier un formulaire html en le
sauvegardant pr�alablement sur son disque dur? J'ai du mal � comprendre
pourquoi le webmestre ne pourrait pas simplement pr�voir de v�rifier par
script (php ou autre) la taille du fichier upload�, en utilisant une
constante ou une variable inaccessible cot� client, et ce afin de supprimer
(par une instruction adequat) le fichier en cas de d�passement de taille
autoris�e.
Voila c'�tait ma question, un peu longue j'en suis d�sol�, mais aucune des
explications que j'ai pu lire � ce propos n'y a apport� la moindre r�ponse
(s�rement parce qu'elle est trop basique!)
Merci d'avance de vos r�ponses et bonne soir�e,
PC
SAM
> Bonjour,
>
> j'ai l'impression de d�terrer un vieux serpent de mer tant qu'il semblerait
> que ce sujet ait �t� d�j� longuement d�battu sur ce newsgroup, ainsi que sur
> des sites d'entraide.
>
> Cependant ma question est tr�s stupide: � quoi peut bien servir la variable
> MAX_FILE_SIZE que l'on met en input=hidden dans un formulaire d'envoi de
> fichier? J'ai un moment pens� qu'elle servait au navigateur pour pr�venir
> l'utilisateur instantan�ment (par un prompt genre alert(...) en cas de
> fichier trop gros. Ca n'aurait pas �t� si b�te de mettre l'utilisateur au
> courant aussit�t, plutot que de le laisser attendre apr�s X minutes d'upload
> (X pouvant �tre �gal � plusieurs heures en cas de connexion lente...) que le
> fichier soit refus� c�t� serveur.
Non, �a ne sert pas au navigateur.
(un attribut max_file_size � mettre dans la balise file me semblerait
plus appropri� comme concept � faire comprendre cot� client)
�a peut servir au PHP ... si ...
cet input de nom 'MAX_FILE_SIZE' est dispos� avant la balise file.
On peut alors supposer que le PHP prend connaissance de la taille maxi
autoris�e puis de celle du fichier upload� (avant m�me que l'upload ne
commence ? possiblement la taille du fichier est attach�e au fichier ?)
et ainsi de juger d'interrompre l'upload avant la fin ?
Enfin, des explications seraient ici par exemple:
<http://forum.alsacreations.com/topic-20-23214-1-Resolu-utilisation-dun-champ-cache-MAXFILESIZE-pour-lupload.html>
<http://www.commentcamarche.net/faq/sujet-889-php-upload-de-fichiers>
> MAis a priori non: cette variable ne sert pas � �a, et d'ailleurs les
> navigateurs ne semblent pas lui accorder la moindre fonction particuli�re,
> autre que celle d'�tre un param�tre hidden de formulaire. Donc ma question,
> qui est double: cette variable est-elle utilis�e par php pour faire
> automatiquement la v�rification de d�passement autoris� sans que le
> webmestre aie � s'en occuper? (je ne connais pas php) Si oui, quel est
> l'int�r�t de la fournir en param�tre, quand on sait qu'il est tr�s facile
> pour un bidouilleur malintentionn� de modifier un formulaire html en le
> sauvegardant pr�alablement sur son disque dur?
Heu ... je connais des formulaires (au moins un) qui refusent de
fonctionner quand ils sont sortis de leur contexte (du site).
> J'ai du mal � comprendre
> pourquoi le webmestre ne pourrait pas simplement pr�voir de v�rifier par
> script (php ou autre) la taille du fichier upload�, en utilisant une
> constante ou une variable inaccessible cot� client, et ce afin de supprimer
> (par une instruction adequat) le fichier en cas de d�passement de taille
> autoris�e.
Si, bien s�r.
voir lien 2 ci-haut.
> Voila c'�tait ma question, un peu longue j'en suis d�sol�, mais aucune des
> explications que j'ai pu lire � ce propos n'y a apport� la moindre r�ponse
> (s�rement parce qu'elle est trop basique!)
Je sais pas moi, mais Google est pourtant tr�s disert � ce sujet.
Olivier Masson
> Le 5/18/09 7:12 PM, Patrice Chev�e a �crit :
>> variable MAX_FILE_SIZE que l'on met en input=hidden dans un formulaire
>> d'envoi de fichier? J'ai un moment pens� qu'elle servait au navigateur
> (un attribut max_file_size � mettre dans la balise file me semblerait
> plus appropri� comme concept � faire comprendre cot� client)
>
Alors �a ! Je n'avais jamais entendu parler de ce truc moche...
Indiquer ce type d'info c�t� client, �a devient n'importe quoi.
�a a l'efficacit� d'une directive c�t� client, c-a-d que dans tous les
cas, il faudra doubler cette v�rif c�t� serveur, donc perte de temps.
Michael DENIS
> Indiquer ce type d'info c�t� client, �a devient n'importe quoi.
Si on se place dans l'optique du serveur, oui. Si on se place dans
l'optique du client, non, et m�me trois fois non. :-) A quoi bon laisser
un client envoyer plusieurs ko/Mo/... si l'on peut le pr�venir tout de
suite que la taille trop �lev�e sera refus�e par le serveur ?
--
Micha�l DENIS
Olivier Masson
Pourquoi ? Que change cette valeur � cela ? Depuis quand mettre
MAX_FILE_SIZE dans un input permet de limiter c�t� client ? J'ai loup�
un paragraphe des spec de HTML4.01 ?
Sergio
>> Si on se place dans l'optique du serveur, oui. Si on se place dans
>> l'optique du client, non, et m�me trois fois non. :-) A quoi bon
>> laisser un client envoyer plusieurs ko/Mo/... si l'on peut le pr�venir
>> tout de suite que la taille trop �lev�e sera refus�e par le serveur ?
>>
>
> Pourquoi ? Que change cette valeur � cela ? Depuis quand mettre
> MAX_FILE_SIZE dans un input permet de limiter c�t� client ? J'ai loup�
> un paragraphe des spec de HTML4.01 ?
Mais ce serait sympa (spec HTML ou pas) que quand on envoie un fichier,
le navigateur puisse dire : "Polop ! Ton fichier l�, il est trop gros,
il ne va pas passer !", avant d'avoir balanc� un giga de donn�es...
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
SAM
Il a bien �t� dit que : Non �a ne fait rien c�t� client.
�a ne peut servir que cot� serveur.
(et �tre utile pour le "client", l'utilisateur qui n'aura pas � attendre
que ses 32Mo sient upload�s alors que seulement 30 sont accept�s)
Le serveur �tant suppos� comparer l'input hidden max-file et l'input
file pour continuer ou interrompre l'upoad. (renvoi presque imm�diat de
l'info de d�passement)
L'init.php pouvant �tre insuffisant pour certains cas d'esp�ces.
L'init.php pouvant �tre inaccessible (pages perso, blogs, forum...)
--
sm
Pierre Goiffon
> Si on se place dans
> l'optique du client, non, et m�me trois fois non. :-) A quoi bon laisser
> un client envoyer plusieurs ko/Mo/... si l'on peut le pr�venir tout de
> suite que la taille trop �lev�e sera refus�e par le serveur ?
Oui !
Dommage, il semble que dans HTML 5 �a ne soit toujours pas pr�vu :
http://www.w3.org/TR/html5/forms.html#file-upload-state
(ni m�me un nb de fichiers max, une info qui paraitrait logique en
conjugaison avec l'attribut multiple)
Olivier Masson
> Il a bien �t� dit que : Non �a ne fait rien c�t� client.
>
On est d'accord, donc je ne vois pas ce que la double remarque de Sergio
vient faire ici.
Ce MAX_FILE_SIZE en html, en plus d'�tre hors spec, est inutile puisque
utilis� c�t� serveur et qu'il est risqu� (et donc, encore une fois,
inutile) de faire ce genre de r�glage sachant que l'on devra le refaire
dans son script.