is_uploaded_file函数引发的不能上传文件问题
程序员文章站
2022-06-29 13:47:19
起因: 在一个项目中,接到用户反馈说其所有客户不能上传文件,都返回失败。经过排查发现是php中的is_uploaded_file函数在捣鬼。 细节分析: 在正常情况下,通过...
起因:
在一个项目中,接到用户反馈说其所有客户不能上传文件,都返回失败。经过排查发现是php中的is_uploaded_file函数在捣鬼。
细节分析:
在正常情况下,通过php 上传文件 ,需要通过is_uploaded_file函数来判断文件是否是通过 http post 上传的,这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。
而本次遇到的问题是本来应该是c:/windows/temp/php99.tmp这样的tmp_name,却变成了c://windows //temp//php99.tmp这种,导致is_uploaded_file函数返回错误的信息。
处理方式:
在加上如下代码后,问题解决。
$file['tmp_name'] = str_replace('////', ‘//', $file['tmp_name']);
注意,“////”实际字符串就是两个/,其他两个是用来表示转义的。
深入研究:
为什么在默写特定的环境下会出现这种情况呢,我们来看如下分析:
; magic quotes for incoming get/post/cookie data.
magic_quotes_gpc = on
在php的默认配置中magic_quotes_gpc是on的,而打开了magic_quotes_gpc参数的php环境会自动对get/post /cookie添加addslashes效果。注意,并不会为$_files添加addslashes效果。
而当magic_quotes_gpc是off的时候,由于为$_files数组添加了addslashes作用,反而出现了问题。也就在 magic_quotes_gpc是off的php环境下都会出现此问题。
顺带说句,svn上的moophp代码已经修复此问题。
is_uploaded_file函数解析:
判断文件是否是通过 http post 上传的
bool is_uploaded_file ( string $filename )
如果 filename 所给出的文件是通过 http post 上传的则返回 true。这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。 这种检查显得格外重要,如果上传的文件有可能会造成对用户或本系统的其他用户显示其内容的话。
为了能使 is_uploaded_file() 函数正常工作,必段指定类似于 $_files['userfile']['tmp_name'] 的变量,而在从客户端上传的文件名 $_files['userfile']['name'] 不能正常运作。
在一个项目中,接到用户反馈说其所有客户不能上传文件,都返回失败。经过排查发现是php中的is_uploaded_file函数在捣鬼。
细节分析:
在正常情况下,通过php 上传文件 ,需要通过is_uploaded_file函数来判断文件是否是通过 http post 上传的,这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。
而本次遇到的问题是本来应该是c:/windows/temp/php99.tmp这样的tmp_name,却变成了c://windows //temp//php99.tmp这种,导致is_uploaded_file函数返回错误的信息。
处理方式:
在加上如下代码后,问题解决。
$file['tmp_name'] = str_replace('////', ‘//', $file['tmp_name']);
注意,“////”实际字符串就是两个/,其他两个是用来表示转义的。
深入研究:
为什么在默写特定的环境下会出现这种情况呢,我们来看如下分析:
; magic quotes for incoming get/post/cookie data.
magic_quotes_gpc = on
在php的默认配置中magic_quotes_gpc是on的,而打开了magic_quotes_gpc参数的php环境会自动对get/post /cookie添加addslashes效果。注意,并不会为$_files添加addslashes效果。
而当magic_quotes_gpc是off的时候,由于为$_files数组添加了addslashes作用,反而出现了问题。也就在 magic_quotes_gpc是off的php环境下都会出现此问题。
顺带说句,svn上的moophp代码已经修复此问题。
is_uploaded_file函数解析:
判断文件是否是通过 http post 上传的
bool is_uploaded_file ( string $filename )
如果 filename 所给出的文件是通过 http post 上传的则返回 true。这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。 这种检查显得格外重要,如果上传的文件有可能会造成对用户或本系统的其他用户显示其内容的话。
为了能使 is_uploaded_file() 函数正常工作,必段指定类似于 $_files['userfile']['tmp_name'] 的变量,而在从客户端上传的文件名 $_files['userfile']['name'] 不能正常运作。
上一篇: 孩子你还是太嫩
下一篇: PHP分页详细讲解(有实例)
推荐阅读
-
is_uploaded_file函数引发的不能上传文件问题
-
php文件上传问题,不能上传中文文件名的文件?_PHP教程
-
php 文件上传时move_uploaded_file不能移动文件的问题
-
is_uploaded_file函数引发的不能上传文件问题_PHP
-
is_uploaded_file函数引发的不能上传文件问题_php技巧
-
PHP中is_uploaded_file函数引发的不能上传文件问题解决方法
-
is_uploaded_file函数引发的不能上传文件问题
-
is_uploaded_file函数引发的不能上传文件问题
-
is_uploaded_file函数引发的不能上传文件问题_php技巧
-
webuploader解决不能重复上传同一个文件的问题