From 505cab0210e83bf62085b665abad0698a8d31352 Mon Sep 17 00:00:00 2001
From: polo <ordipolo@gmx.fr>
Date: Mon, 12 Jan 2026 17:16:41 +0100
Subject: =?UTF-8?q?upload=20de=20fichiers=20(JS=20+=20contr=C3=B4leur=20+?=
 =?UTF-8?q?=20htaccess),=20collage=20de=20fichiers=20dans=20l'=C3=A9diteur?=
 =?UTF-8?q?=20(JS),=20am=C3=A9lioration=20utilisation=20de=20Imagick=20(Im?=
 =?UTF-8?q?ageUploadController)?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 src/Captcha.php                          |   6 +-
 src/controller/FileUploadController.php  |  67 +++++++++++
 src/controller/HeadFootController.php    |   5 +-
 src/controller/ImageUploadController.php | 186 +++++++++++++++++--------------
 src/router.php                           |   7 +-
 5 files changed, 181 insertions(+), 90 deletions(-)
 create mode 100644 src/controller/FileUploadController.php

(limited to 'src')

diff --git a/src/Captcha.php b/src/Captcha.php
index f60031a..a0c7a54 100644
--- a/src/Captcha.php
+++ b/src/Captcha.php
@@ -10,12 +10,10 @@ class Captcha
 {
 	private int $a;
 	private int $b;
-	private int $solution;
 
 	public function __construct(){
 		$this->a = rand(2, 9);
 		$this->b = rand(2, 9);
-		$this->solution = $this->a * $this->b;
 	}
 
 	public function getA(): string
@@ -28,7 +26,7 @@ class Captcha
 	}
 	public function getSolution(): int
 	{
-		return $this->solution;
+		return ($this->a * $this->b);
 	}
 
 	private function toLettersFrench(int $number): string
@@ -45,6 +43,8 @@ class Captcha
 			default => '', // erreur
 		};
 	}
+	
+	// (à déplacer dans FormValidation?)
 	static public function controlInput(string $input = '0'): int
 	{
 	    // un POST est une chaîne qu'on doit convertir en nombre dans deux conditions:
diff --git a/src/controller/FileUploadController.php b/src/controller/FileUploadController.php
new file mode 100644
index 0000000..f53f5c2
--- /dev/null
+++ b/src/controller/FileUploadController.php
@@ -0,0 +1,67 @@
+<?php
+// src/controller/FileUploadController.php
+
+declare(strict_types=1);
+
+class FileUploadController
+{
+	static public function checkFileDownload(array $file): bool
+	{
+		$extensions_white_list = ['pdf', 'rtf', 'doc', 'docx', 'xls', 'xlsx', 'ppt', 'pptx', 'odt', 'ods', 'odp']; // = extensions_white_list côté javascript
+		$mime_type_white_list = ['application/pdf', 'application/rtf', 'text/rtf', 'application/msword', 'application/vnd.openxmlformats-officedocument.wordprocessingml.document', 'application/vnd.ms-excel', 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet', 'application/vnd.ms-powerpoint', 'application/vnd.openxmlformats-officedocument.presentationml.presentation', 'application/vnd.oasis.opendocument.text', 'application/vnd.oasis.opendocument.spreadsheet', 'application/vnd.oasis.opendocument.presentation'];
+		
+		// 1/ extension
+		$extension = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
+		if(!in_array($extension, $extensions_white_list, true)){
+			return false;
+	    }
+		
+		// 2/ fichier obtenu par HTTP POST (théoriquement inutile si le routeur est solide, mais ça ne mange pas de pain)
+		if(!is_uploaded_file($file['tmp_name'])){
+			return false;
+		}
+
+		// 3/ objet $finfo valide (dépend du paramètre FILEINFO_MIME_TYPE)
+	    $finfo = new finfo(FILEINFO_MIME_TYPE);
+		if($finfo === false){
+	        return false;
+	    }
+		
+		// 4/ contrôle du "vrai" type mime (finfo_file lit les 1ers octets des fichiers pour y trouver des "signatures", très fiable sauf avec les conteneurs: doc, zip...)
+	    $real_type = finfo_file($finfo, $file['tmp_name']);
+	    return in_array($real_type, $mime_type_white_list, true);
+	}
+
+	static public function fileUploadTinyMce(): void
+	{
+		if(isset($_FILES['file'])){
+	        $dest = 'user_data/media/';
+	        if(!is_dir($dest)){ // Vérifier si le répertoire existe, sinon le créer
+	            mkdir($dest, 0755, true);
+	        }
+	        
+	        $name = Security::secureFileName(pathinfo($_FILES['file']['name'], PATHINFO_FILENAME)); // retirer caractères spéciaux et changer espaces en underscores
+	        $extension = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)); 
+	        $file_path = $dest . $name . '_' . uniqid() . '.' . $extension; // nom unique
+	        
+	        if(self::checkFileDownload($_FILES['file'])){
+	        	if(move_uploaded_file($_FILES['file']['tmp_name'], $file_path)){
+					echo json_encode(['location' => $file_path]);
+				}
+				else{
+					http_response_code(500);
+					echo json_encode(['message' => 'Erreur enregistrement du fichier.']);
+				}
+	        }
+	        else{
+	        	http_response_code(400);
+				echo json_encode(['message' => 'Erreur 400: fichier non valide.']);
+			}
+	    }
+	    else{
+	        http_response_code(400);
+	        echo json_encode(['message' => 'Erreur 400: Bad Request']);
+	    }
+	    die;
+	}
+}
\ No newline at end of file
diff --git a/src/controller/HeadFootController.php b/src/controller/HeadFootController.php
index de7ae53..83e27a8 100644
--- a/src/controller/HeadFootController.php
+++ b/src/controller/HeadFootController.php
@@ -4,7 +4,6 @@
 declare(strict_types=1);
 
 use App\Entity\NodeData;
-use App\Entity\NodeDataAsset;
 use App\Entity\Asset;
 use App\Entity\AssetEmployment;
 use Doctrine\ORM\EntityManager;
@@ -82,7 +81,7 @@ class HeadFootController
 			}
 
 			/* -- écriture du fichier sur le disque -- */
-			if(!ImageUploadController::imagickCleanImage(file_get_contents($file['tmp_name']), Asset::USER_PATH . $name, $extension)){ // recréer l’image pour la nettoyer
+			if(!ImageUploadController::imagickCleanAndWriteImage(file_get_contents($file['tmp_name']), Asset::USER_PATH . $name, $extension)){ // recréer l’image pour la nettoyer
 				http_response_code(500);
 	            echo json_encode(['success' => false, 'message' => 'Erreur image non valide.', 'format' => $extension]);
 			}
@@ -146,6 +145,4 @@ class HeadFootController
 		}
 		die;
 	}
-
-	//static public function uploadImage(EntityManager $entityManager, array $request_params): void
 }
\ No newline at end of file
diff --git a/src/controller/ImageUploadController.php b/src/controller/ImageUploadController.php
index 77f0a47..7943116 100644
--- a/src/controller/ImageUploadController.php
+++ b/src/controller/ImageUploadController.php
@@ -5,17 +5,40 @@ declare(strict_types=1);
 
 class ImageUploadController
 {
-	static public function imagickCleanImage(string $image_data, string $local_path, string $format = 'jpeg'): bool // "string" parce que file_get_contents...
+	const ALLOWED_EXTENSIONS = ['jpg', 'jpeg', 'png', 'gif', 'webp', 'tiff', 'tif'];
+
+	static public function imagickCleanAndWriteImage(string $image_data, string $local_path): bool // "string" parce que file_get_contents...
 	{
+		$format = strtolower(pathinfo($local_path)['extension']);
 	    try{
 	        $imagick = new Imagick();
 	        $imagick->readImageBlob($image_data);
 	        $imagick->stripImage(); // nettoyage métadonnées
-	        $imagick->setImageFormat($format);
-	        if($format === 'jpeg'){
-	            $imagick->setImageCompression(Imagick::COMPRESSION_JPEG);
-	            $imagick->setImageCompressionQuality(85); // optionnel
+	        //$imagick->setImageFormat($format); // inutile, writeImage force la conversion
+
+	        // compression
+	        switch($format){
+	            case 'jpeg': // particularité du switch, si 'jpeg' le test de 'jpg' est ignoré et on va jusqu'au break
+	            case 'jpg':
+	                $imagick->setImageCompression(Imagick::COMPRESSION_JPEG);
+	                $imagick->setImageCompressionQuality(85);
+	                break;
+	            case 'webp':
+	                $imagick->setImageCompression(Imagick::COMPRESSION_WEBP);
+	                $imagick->setImageCompressionQuality(85);
+	                break;
+	            case 'png':
+	                $imagick->setImageCompression(Imagick::COMPRESSION_ZIP);
+	                $imagick->setImageCompressionQuality(7); // 9 est sans perte
+	                break;
+	            case 'tiff':
+	                $imagick->setImageCompression(Imagick::COMPRESSION_LZW);  // LZW est sans perte
+	                break;
 	        }
+
+	        // enregistrement
+	        // writeImage utilise l'extension du fichier et ignore le format détecté
+	        // imagemagick est à l'origine une appli console, elle considère que l'extension montre l'intention de 
 	        $imagick->writeImage($local_path); // enregistrement
 	        $imagick->clear();
 	        $imagick->destroy();
@@ -25,7 +48,7 @@ class ImageUploadController
 	        return false;
 	    }
 	}
-	static public function curlDownloadImage(string $url, $maxRetries = 3, $timeout = 10): string|false
+	static public function curlDownloadImage(string $url, int $maxRetries = 3, int $timeout = 10): string|false
 	{
 	    $attempt = 0;
 	    $imageData = false;
@@ -43,8 +66,6 @@ class ImageUploadController
 	        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
 	        //$curlError = curl_error($ch);
 
-	        curl_close($ch);
-
 	        if($imageData !== false && $httpCode >= 200 && $httpCode < 300){
 	            return $imageData;
 	        }
@@ -59,42 +80,45 @@ class ImageUploadController
 	// téléchargement par le plugin (bouton "insérer une image")
 	static public function imageUploadTinyMce(): void
 	{
-		if(isset($_FILES['file'])){
-	        $file = $_FILES['file'];
-	        $dest = 'user_data/images/';
-	        $dest_mini = 'user_data/images-mini/';
-	        
-	        // Vérifier si les répertoires existent, sinon les créer
-	        if(!is_dir($dest)){
-	            mkdir($dest, 0777, true);
-	        }
-	        if(!is_dir($dest_mini)){
-	            mkdir($dest_mini, 0777, true);
-	        }
-	        
-	        $allowed_extensions = ['jpg', 'jpeg', 'png', 'gif', 'webp', 'tiff', 'tif'];
-	        $name = Security::secureFileName(pathinfo($file['name'], PATHINFO_FILENAME));
-	        $extension = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
-	        if(!in_array($extension, $allowed_extensions) || $extension === 'jpg'){
-	            $extension = 'jpeg';
-	        }
-	        $file_path = uniqid($dest . $name . '_') . '.' . $extension;
-
-	        // créer une miniature de l'image
-	        //
-
-	        if(self::imagickCleanImage(file_get_contents($file['tmp_name']), $file_path, $extension)){ // recréer l’image pour la nettoyer
-	            echo json_encode(['location' => $file_path]); // renvoyer l'URL de l'image téléchargée
-	        }
-	        else{
-	            http_response_code(500);
-	            echo json_encode(['message' => 'Erreur image non valide', 'format' => $extension]);
-	        }
-	    }
-	    else{
-	        http_response_code(400);
+		if(!isset($_FILES['file'])){
+			http_response_code(400);
 	        echo json_encode(['message' => 'Erreur 400: Bad Request']);
 	    }
+	    if(!is_uploaded_file($_FILES['file']['tmp_name'])) {
+            http_response_code(400);
+            echo json_encode(['message' => "Le fichier n'a pas été téléchargé correctement."]);
+            die;
+        }
+
+        $dest = 'user_data/images/';
+        $dest_mini = 'user_data/images-mini/';
+        
+        // Vérifier si les répertoires existent, sinon les créer
+        if(!is_dir($dest)){
+            mkdir($dest, 0755, true);
+        }
+        if(!is_dir($dest_mini)){
+            mkdir($dest_mini, 0755, true);
+        }
+        
+        $name = Security::secureFileName(pathinfo($_FILES['file']['name'], PATHINFO_FILENAME));
+        $extension = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION));
+        $image_data = file_get_contents($_FILES['file']['tmp_name']);
+        if(!in_array($extension, self::ALLOWED_EXTENSIONS)){
+            $extension = 'jpeg';
+        }
+        $local_path = uniqid($dest . $name . '_') . '.' . $extension;
+
+        // créer une miniature de l'image
+        //
+
+        if(self::imagickCleanAndWriteImage($image_data, $local_path)){ // recréer l’image pour la nettoyer
+            echo json_encode(['location' => $local_path]); // renvoyer l'URL de l'image téléchargée
+        }
+        else{
+            http_response_code(500);
+            echo json_encode(['message' => 'Erreur image non valide']);
+        }
 	    die;
 	}
 
@@ -103,40 +127,39 @@ class ImageUploadController
 	{
 		$json = json_decode(file_get_contents('php://input'), true);
 	    
-	    if(isset($json['image_url'])){
-	        $image_data = self::curlDownloadImage($json['image_url']); // téléchargement de l’image par le serveur avec cURL au lieu de file_get_contents
-	        $dest = 'user_data/images/';
-	        
-	        if(!is_dir($dest)) { // Vérifier si le répertoire existe, sinon le créer
-	            mkdir($dest, 0777, true);
-	        }
-
-	        if($image_data === false){
-	            http_response_code(400);
-	            echo json_encode(['message' => "Erreur, le serveur n'a pas réussi à télécharger l'image."]);
-	            die;
-	        }
-	        
-	        $allowed_extensions = ['jpg', 'jpeg', 'png', 'gif', 'webp', 'tiff', 'tif'];
-	        $url_path = parse_url($json['image_url'], PHP_URL_PATH);
-	        $name = Security::secureFileName(pathinfo($url_path, PATHINFO_FILENAME));
-	        $extension = strtolower(pathinfo($url_path, PATHINFO_EXTENSION));
-	        if(!in_array($extension, $allowed_extensions) || $extension === 'jpg'){
-	            $extension = 'jpeg';
-	        }
-	        $local_path = uniqid($dest . $name . '_') . '.' . $extension;
-	        
-	        if(self::imagickCleanImage($image_data, $local_path, $extension)){ // recréer l’image pour la nettoyer
-	            echo json_encode(['location' => $local_path]); // nouvelle adresse
-	        }
-	        else{
-	            http_response_code(500);
-	            echo json_encode(['message' => 'Erreur image non valide', 'format' => $extension]);
-	        }
-	    }
-	    else{
-	        echo json_encode(['message' => 'Erreur 400: Bad Request']);
+	    if(!isset($json['image_url'])){
+	    	http_response_code(400);
+            echo json_encode(['message' => "Erreur 400: Bad Request"]);
+            die;
 	    }
+
+        $image_data = self::curlDownloadImage($json['image_url']); // téléchargement de l’image par le serveur avec cURL au lieu de file_get_contents
+        if(!$image_data){
+            http_response_code(400);
+            echo json_encode(['message' => "Erreur, le serveur n'a pas réussi à télécharger l'image."]);
+            die;
+        }
+
+        $dest = 'user_data/images/';
+        if(!is_dir($dest)) { // Vérifier si le répertoire existe, sinon le créer
+            mkdir($dest, 0755, true);
+        }
+        
+        $url_path = parse_url($json['image_url'], PHP_URL_PATH);
+        $name = Security::secureFileName(pathinfo($url_path, PATHINFO_FILENAME));
+        $extension = strtolower(pathinfo($url_path, PATHINFO_EXTENSION));
+        if(!in_array($extension, self::ALLOWED_EXTENSIONS) || $extension === 'jpg'){
+            $extension = 'jpeg';
+        }
+        $local_path = uniqid($dest . $name . '_') . '.' . $extension;
+        
+        if(self::imagickCleanAndWriteImage($image_data, $local_path)){ // recréer l’image pour la nettoyer
+            echo json_encode(['location' => $local_path]); // nouvelle adresse
+        }
+        else{
+            http_response_code(500);
+            echo json_encode(['message' => 'Erreur image non valide', 'format' => $extension]);
+        }
 	    die;
 	}
 
@@ -147,7 +170,7 @@ class ImageUploadController
 	    $dest = 'user_data/images/';
 
 	    if(!is_dir($dest)){
-	        mkdir($dest, 0777, true);
+	        mkdir($dest, 0755, true);
 	    }
 
 	    // détection de data:image/ et de ;base64, et capture du format dans $type
@@ -157,22 +180,21 @@ class ImageUploadController
 	        die;
 	    }
 
-	    $allowed_extensions = ['jpg', 'jpeg', 'png', 'gif', 'webp', 'tiff', 'tif'];
-	    $extension = strtolower($type[1]);
-	    if(!in_array($extension, $allowed_extensions) || $extension === 'jpg'){
+	    $extension = strtolower($type[1]); // dans (\w+)
+	    if(!in_array($extension, self::ALLOWED_EXTENSIONS)){
 	        $extension = 'jpeg';
 	    }
 
+	    $name = 'pasted_image'; 
 	    $image_data = base64_decode(substr($json['image_base64'], strpos($json['image_base64'], ',') + 1)); // découpe la chaine à la virgule puis convertit en binaire
 	    if($image_data === false){
 	        http_response_code(400);
 	        echo json_encode(['message' => 'Décodage base64 invalide']);
 	        die;
 	    }
-	    
-	    $local_path = uniqid($dest . 'pasted_image_') . '.' . $extension;
+	    $local_path = uniqid($dest . $name . '_') . '.' . $extension;
 
-	    if(self::imagickCleanImage($image_data, $local_path)){
+	    if(self::imagickCleanAndWriteImage($image_data, $local_path)){
 	        echo json_encode(['location' => $local_path]);
 	    }
 	    else{
diff --git a/src/router.php b/src/router.php
index 7348f2b..ff219da 100644
--- a/src/router.php
+++ b/src/router.php
@@ -231,12 +231,17 @@ elseif($request->getMethod() === 'POST'){
             }
         }
 
-        // upload d'image dans tinymce avec le plugin (bouton "insérer une image" de l'éditeur)
+        // upload avec FormData
         elseif(strpos($_SERVER['CONTENT_TYPE'], 'multipart/form-data') !== false)
         {
+            // dans tinymce avec le plugin (bouton "insérer une image" de l'éditeur ou glisser-déposer)
             if($request->query->has('action') && $request->query->get('action') === 'upload_image_tinymce'){
                 ImageUploadController::imageUploadTinyMce();
             }
+            // dans tinymce, des quatre méthodes: bouton "link", drag & drop, html, base64
+            elseif($request->query->has('action') && $request->query->get('action') === 'upload_file_tinymce'){
+                FileUploadController::fileUploadTinyMce();
+            }
             elseif($request->query->has('head_foot_image')){
                 HeadFootController::uploadAsset($entityManager, $request->query->get('head_foot_image'));
             }
-- 
cgit v1.2.3