欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

php文件上传原理深入分析与理解

程序员文章站 2022-05-02 21:15:05
...
为大家深入介绍php文件上传的相关原理,有需要的朋友,可以参考下。

很多的php 教程中,都会介绍文件上传,众所周知,php文件上传是简单而高效的,今天为大家分析下其原理。

//使用multipart/form-data编码格式 $_FILES系统函数; $_FILES['myFile']['name']文件名称 $_FILES['myFile']['type']文件的类型,服务端进行限制 image/** image/x-png application/x-zip-compressed $_FILES['myFile']['size']上传文件大小 $_FILES['myFile']['tmp_name']上传服务后保存临时文件名 $_FILES['myFile']['error']错误代码; 0成功1超过php.ini大小2超过MAX_FILE_SIZE选项指定的值 3只有部分上传 5上传文件大小为0

move_uploaded_file(临时文件,目标位置和文件名); 上传后移动文件到目标位置的函数 is_uploaded_file(MIME);

判断上传MIME类型的例子: 1、html部分








2、文件上传代码




-------------------------------------------
PHP文件上传的原理及实现
 
一,表单
     1,上传文件的表单使用post方式(和get的区别不用说了);还要加上enctype='multipart/form-data'。
     2,一般要加上隐藏域:,位置在file域前面。value的值是上传文件的客户端字节限制。据说可以减少文件超标时客户端的等待时间,不过我没觉得有什么区别。
     3,出于安全考虑,file域是不许赋值的。随便在file域输入字符串,然后按submit也不会有反应。必须是第二个字符是冒号的时候(比如空格跟随冒号可以上传一个长度为0字节的“文件”),submit才同意“服务”——不过这个是客户端的措施,跟MAX_FILE_SIZE一样很容易绕过去。


二,文件上传错误代码
     先抄一段:预定义变量$_FILES数组有5个内容:
     $_FILES['userfile']['name']——客户端机器文件的原名称
     $_FILES['userfile']['type']——文件的 MIME 类型
     $_FILES['userfile']['size']——已上传文件的大小,单位为字节
     $_FILES['userfile']['tmp_name']——文件被上传后在服务端储存的临时文件名
     $_FILES['userfile']['error']——和该文件上传相关的错误代码


     其中$_FILES['userfile']['error']的可以有下列取值和意义:
     0——没有错误发生,文件上传成功。  
     1——上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。  
     2——上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值。  
     3——文件只有部分被上传。  
     4——没有文件被上传。  
     
     1~3不用说了。
     “没有文件被上传”(4)是指表单的file域没有内容,是空字符串。
     “文件上传成功”(0)不一定真的有文件上传了。比如你打了个“c:”给file域,就可以“上传成功”——错误代码是0,['name']是“c:”,['type']是“application/octet-stream”,['size']是0,['tmp_name']是“xxx.tmp”(xxx是服务器起的名字)
     
三,文件大小限制和检验
     限制上传文件大小的因素有
     1,客户端的隐藏域MAX_FILE_SIZE的数值(可以被绕开)。
     2,服务器端的upload_max_filesize,post_max_size和memory_limit。这几项不能够用脚本来设置。
     3,自定义文件大小限制逻辑。即使服务器的限制是能自己决定,也会有需要个别考虑的情况。所以这个限制方式经常是必要的。
     
     我碰见的一种情况可能不是普遍性的,说明一下。如果文件比服务器端限制(upload_max_filesize)大很多,但也还没达到或接近post_max_size或者memory_limit,$_FILES就会“崩溃”——结果是$_FILES['userfile']变成了“Undefined index”,当然是什么检验也做不到了。


     服务器端限制的检验优先于客户端限制的检验。就是说,如果两个限制是一样的,而文件过大了,$_FILES['userfile']['error']会出错误代码1。只有客户端限制比服务器端限制小到一定“程度”,而且文件大小超过两者的时候,才会出现错误代码2(难道这跟我感觉MAX_FILE_SIZE没起到预想的作用是一个原因?)。上述的“程度”,在我的机器上试验在3~4K之间——我的机器设置的服务器端限制为2M……因为没什么意味,就没有追求精确的规律。


     出现错误代码1或2的时候:
     $_FILES['userfile']['name']为客户端机器文件的原名称
     $_FILES['userfile']['type']为空字符串
     $_FILES['userfile']['size']为0
     $_FILES['userfile']['tmp_name']为空字符串


四,文件路径检验     
     file域无输入,错误代码为4(无文件上传)
     $_FILES['userfile']['name']为空字符串
     $_FILES['userfile']['type']为空字符串
     $_FILES['userfile']['size']为0
     $_FILES['userfile']['tmp_name']为空字符串
     
     file域是非文件路径的字符串(不考虑客户端的假“限制”了),错误代码是0(“上传成功”)
     $_FILES['userfile']['name']为原字符串
     $_FILES['userfile']['type']为application/octet-stream
     $_FILES['userfile']['size']为0
     $_FILES['userfile']['tmp_name']为一个暂时文件名   


五,is_uploaded_file()的返回值
     手册上面不很详细地说,用法是:
         bool is_uploaded_file( string filename)
     实际上
         is_uploaded_file($_FILES['userfile']['name']);
     总是返回FALSE。后来看见别人是用:
         is_uploaded_file($_FILES['userfile']['tmp_name']);


     比较一下:
     file域无输入——————返回FALSE——error=>4,name=>'',    tmp_name=>'',    type=>'',    size=>0
     file域为非路径字符串——返回 TRUE——error=>0,name=>'xxx',tmp_name=>'yyy',type=>'zzz',size=>0
     文件上传成功——————返回 TRUE——error=>0,name=>'xxx',tmp_name=>'yyy',type=>'zzz',size=>sss
     文件太大————————返回FALSE——error=>1,name=>'xxx',tmp_name=>'',    type=>'',    size=>0
     文件太大————————返回FALSE——error=>2,name=>'xxx',tmp_name=>'',    type=>'',    size=>0
     文件部分上传——————没机会试验 —error=>3


     有点怀疑这个函数是怎么工作的,还是觉得用$_FILES['userfile']['size']检验好些。


六,检验顺序
     if($_FILES['userfile']['error']!=4){//有文件上传 
         if($_FILES['userfile']['error']!=3){//全部上传了 
             if($_FILES['userfile']['error']!=1){//不超过服务器端文件大小限制 
                 if($_FILES['userfile']['error']!=2){//不超过客户端文件大小限制 
                     if($_FILES['userfile']['size']>0){//确实是文件 
                         if(......){//自定义文件大小检验逻辑 
                             if(......){//自定义文件类型检验逻辑 
                                 if(move_uploaded_file($_FILES['userfile']['tmp_name'],...))//移动文件 
                                     //.......... 
                                 } 
                                 else 
                                     give_a_message(...); 
                             } 
                             else 
                                 give_a_message(...); 
                         } 
                         else 
                             give_a_message(...); 
                     } 
                     else 
                         give_a_message(...); 
                 } 
                 else 
                     give_a_message(...); 
             } 
             else 
                 give_a_message(...); 
         } 
         else 
             give_a_message(...); 
     }
附代码:
------------------------------
1)、test.php:





     
     Send this file: 





2)、upload.php


";
  if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
     print "File is valid, and was successfully uploaded.  Here's some more debugging info:\n";
     print_r($_FILES);
  } else {
     print "Possible file upload attack!  Here's some debugging info:\n";
     print_r($_FILES);
  }
  print "
";
 ?>


					

															

						相关标签:												
							php文件上传原理深入分析与理解						
											

															

						

							上一篇:							
								phpMyAdmin 缺少 mysqli 扩展。请检查 PHP 配置 的解决方案_PHP教程							
						

						

							下一篇:							
								手动编译安装Mysql							
						

					

															

						

							推荐阅读