Schreiben eines Upload -Prozess -Skripts

Gem?? Ihrer eigenen Erfahrung und den gerade genannten Anforderungen haben Sie m?glicherweise den Prozess des Datei -Hochladens erraten.

• Besucher sehen HTML -Seiten an, die Formulare enthalten, die speziell zur Unterstützung von Datei -Uploads verwendet werden.
• Der Besucher liefert die Datei, die er hochladen m?chte, und reicht das Formular ein.
• Der Browser codiert die Datei und sendet sie als Teil einer an den Server ausgegebenen Postanforderung.
• PHP empf?ngt Formulareinreichungen, dekodiert die Datei und speichert sie an einem tempor?ren Ort auf dem Server.
• Verantwortlich für die Bearbeitung der PHP -Skript -Validierungsdatei für die Einreichung von Formular und die Verarbeitung von dieser irgendwie, wobei sie normalerweise von einem tempor?ren Ort zu einem dauerhafteren Ort verschoben werden.

Support für Dateien Upload muss ein HTML -Formular erstellen, das dem Benutzer und einem PHP -Skript angezeigt werden soll, um Dateien auf dem Server hochgeladen zu behandeln.

html

HTML -Formular bietet die Schnittstelle für den Upload des Datei zum Dateien. Denken Sie daran, dass das Methodenattribut des <input> -Elements auf post gesetzt werden muss und das EngeTePe-Attribut auf Multipart/Form-Data gesetzt werden muss. Ein Datei <input> Element enth?lt ein Feld, das die zu hochgeladene Datei angibt. Wie jedes andere Formularelement ist es wichtig, das Namensattribut anzugeben, damit Sie es in einem PHP -Skript verweisen k?nnen, das das Formular verarbeitet. Hier ist ein Beispiel für das Markieren für ein grundlegendes Datei -Upload -Formular:

<code>file_uploads = On</code>

Es ist erw?hnenswert, dass verschiedene Browser Dateifelder auf unterschiedliche Weise rendern. Dh, Firefox und Opera zeigen es als Textfelder mit markierten Schaltfl?chen an oder w?hlen Sie neben ihnen. Safari rendert es als eine Schaltfl?che, die nur als Datei ausw?hlen markiert wird. Dies ist normalerweise kein Problem, da der Benutzer daran gew?hnt ist, wie das Feld im Browser seiner Wahl gerendert wird und wei?, wie man es benutzt. Manchmal begegnen Sie jedoch Kunden oder Designern, die darauf bestehen, es auf irgendeine Weise zu pr?sentieren. Aus den vom Browser auferlegten Sicherheitsgründen ist die Anzahl der CSS und JavaScript, die auf Dateifelder angewendet werden k?nnen, sehr begrenzt. Gestaltete Dateifelder k?nnen schwierig sein. Wenn Ihnen das Erscheinungsbild wichtig ist, schlage ich vor, dass Sie Peter-Paul Kochs gestyltes Eingabe-Typ = "Datei" ansehen.

php

Informationen zu Datei-Uploads werden über mehrdimensionale Arrays $_FILES bereitgestellt. Dieses Array wird unter dem Namen in den Dateifeldern im HTML -Formular indiziert, genau wie $_GET und $_POST indiziert mit dem Namen. Dann enth?lt das Array jeder Datei den folgenden Index:

• $_FILES["myFile"]["name"] speichert den Original -Dateinamen im Client.
• $_FILES["myFile"]["type"] Der MIME -Typ, der die Datei speichert.
• $_FILES["myFile"]["size"] Gr??e der Datei in Bytes.
• $_FILES["myFile"]["tmp_name"] Der Name der tempor?ren Datei wird gespeichert.
• $_FILES["myFile"]["error"] Speichern Sie alle Fehlercodes, die w?hrend der übertragung generiert wurden.

move_uploaded_file() verschiebt die hochgeladene Datei von einem tempor?ren Speicherort an einen dauerhaften Ort. Sie sollten immer Funktionen wie move_uploaded_file() anstelle von copy() und rename() für diesen Zweck verwenden, da sie zus?tzliche überprüfungen durchführt, um sicherzustellen, dass die Datei tats?chlich über die HTTP -Postanforderung hochgeladen wird. Wenn Sie vorhaben, Dateien mit dem vom Benutzer bereitgestellten Original -Dateinamen zu speichern, k?nnen Sie sicherstellen, dass dies sicher ist. Der Dateiname sollte keine Zeichen enthalten, die sich auf den Zielpfad auswirken k?nnen, z. B. Schr?gstriche. Der Name sollte auch nicht dazu führen, dass die Datei vorhandene Dateien mit demselben Namen überschreibt (es sei denn, Ihr Anwendungsdesign tut dies). Ich sorge für einen sicheren Dateinamen, indem ich jede Nichtlager-, Nummer oder eine sehr begrenzte Reihe von Interpunktionszeichen durch einen Unterstrich ersetze und dann inkrementierte Zahlen anh?ngen, wenn die Datei mit demselben Namen bereits vorhanden ist. Hier ist ein Beispiel für das Empfangen und Verarbeiten von PHP -Datei -Uploads:

<code>file_uploads = On</code>

Dieser Code stellt zuerst sicher, dass beim Hochladen der Datei keine Fehler auftreten. Anschlie?end ermittelt es den sicheren Dateinamen (wie ich gerade erw?hnt habe) und verwendet move_uploaded_file(), um die Datei in das endgültige Verzeichnis zu verschieben. Rufen Sie schlie?lich chmod() auf, um sicherzustellen, dass in der neuen Datei angemessener Zugriff festgelegt wird.

Sicherheitsvorkehrungen

Die meisten von uns lassen einen totalen Stranger zuf?lligen Dateien auf unserem PC nicht speichern. Wenn Sie jedoch zulassen, dass Dateien in unserer App hochgeladen werden, tun Sie dies tats?chlich. M?glicherweise planen Sie, dass der Benutzer seine eigenen Fotos als Profilseite hochladen. Was ist jedoch, wenn er versucht, eine speziell hergestellte, virushaltige ausführbare Datei hochzuladen? Ich m?chte einige Schritte ausführen, die Sie unternehmen k?nnen, um die inh?renten Sicherheitsrisiken für das Erlaubt von Datei -Uploads zu minimieren. Einer der Schritte besteht darin, zu überprüfen, ob die hochgeladene Datei korrekt ist. Abh?ngig vom Wert von $_FILES["myFile"]["type"] oder der Erweiterung des Dateinamens ist nicht sicher, da beide anf?llig für F?lschungen sind. Verwenden Sie stattdessen eine Funktion wie exif_imagetype(), um den Inhalt der Datei zu überprüfen und festzustellen, ob es sich tats?chlich um GIF, JPEG oder mehrere andere unterstützte Bildformate handelt. Wenn exif_imagetype() nicht verfügbar ist (für die Funktion muss die EXIF ??-Erweiterung aktiviert werden), kann getimagesize() verwendet werden. getimagesize() Das zurückgegebene Array enth?lt den Bildtyp (falls erkannt).

<code>upload_tmp_dir = "/tmp"

tboronczyk@zarkov:~$ ls -l / | grep tmp
drwxrwxrwt  13 root root 40960 2011-08-31 00:50 tmp</code>

Für Nicht-Image-Dateien k?nnen Sie exec() das UNIX-Datei-Dienstprogramm verwenden. Die Datei bestimmt den Typ der Datei, indem sie nach bekannten bin?ren Signaturen am erwarteten Ort suchen.

<code>file_uploads = On</code>

Ein weiterer Schritt, den Sie unternehmen k?nnen, besteht darin, die Gesamtgr??e der Postanforderung und die Anzahl der Dateien, die hochgeladen werden k?nnen, eine strikte Begrenzung aufzuerlegen. Geben Sie dazu die geeigneten Werte für die Direktiven upload_max_size, post_max_size und max_file_uploads in php.ini an. Die Anweisung upload_max_size gibt die maximale Gr??e für Datei -Uploads an. Zus?tzlich zur hochgeladenen Gr??e k?nnen Sie auch die Anweisung pOST_MAX_SIZE verwenden, um die Gr??e der gesamten Postanforderung zu begrenzen. MAX_FILE_UPLOADS ist eine neuere Anweisung (in Version 5.2.12 hinzugefügt), die die Anzahl der Dateien -Uploads einschr?nkt. Diese drei Anweisungen schützen Ihre Website vor Angriffen, die versuchen, ihre Verfügbarkeit zu untergraben, indem sie viel Netzwerkverkehr oder Systemlast verursachen.

<code>upload_tmp_dir = "/tmp"

tboronczyk@zarkov:~$ ls -l / | grep tmp
drwxrwxrwt  13 root root 40960 2011-08-31 00:50 tmp</code>

Der dritte Schritt, den Sie unternehmen k?nnen, besteht darin, den Virus -Scanner zum Scannen der hochgeladenen Dateien zu verwenden. Dies ist in der heutigen ?ra von weit verbreiteten Viren und Malware von entscheidender Bedeutung, insbesondere wenn Ihre Website anderen Personen sp?ter hochgeladene Dateien herunterladen kann, z. B. Anh?nge in webbasierten E-Mail-Kunden oder (legal) Dateifreigabe-Websites. Es gibt eine PHP-Erweiterung, die auf Clamav zugreifen kann. Natürlich k?nnen Sie das Befehlszeilendienstprogramm von Clamav wie ich für die Datei demonstriert haben.

Zusammenfassung

Sie haben gelernt, wie einfach es ist, Ihre Website oder webbasierte Anwendung zu verwenden, um Dateien-Uploads zu unterstützen. Damit das Hochladen als erfolgreich ist, muss das HTML-Formular über eine mehrteilige/form-data-kodierte Postanforderung übermittelt werden, und PHP muss die übertragung über die Anweisung File_Uploads erm?glichen. Nachdem die Datei übertragen wurde, verschiebt das Skript, das für die Behandlung des Uploads verantwortlich ist, die Datei aus dem tempor?ren Verzeichnis an den gewünschten Speicherort unter Verwendung der im $_FILES -Array gefundenen Informationen. Ich teile auch einige zus?tzliche Vorsichtsma?nahmen, die Sie treffen k?nnen, um sich und Ihre Benutzer vor einigen der Risiken zu schützen, die mit dem Erlaubt von Datei -Uploads verbunden sind. Sie sehen, wie Sie sicherstellen, dass Dateinamen sicher sind, Dateitypen überprüfen, strenge Einschr?nkungen für den Hochladen des Verkehrs auferlegen und Viren scannen.

(solcher Inhalt wie den FAQ -Abschnitt kann nach Bedarf hinzugefügt werden)