文件上傳中有一塊非常重要的就是安全驗證了,如果驗證不合理就很容易給一些人把此利用上傳非常的黑客文件了,那么對于新學php新手文件上傳驗證有多了解呢？如果不懂可以看看本文章.

最近遇到一個事,把自己坑了好久,我想說說我開始的想法,PHP的上傳機制封裝的很完全,基本幾行代碼就能實現,他的實現流程是這樣的:

UPLOAD到文件到臨時目錄中?>使用move_uploadde_file()到指定的目錄

這就是PHP上傳流程,或者你在中途再進行一些驗證,例如判斷是不是通過upload方式提交的文檔,或者文件的擴展是不是我們允許的等等一系列驗證,我給出簡單的代碼也算是拋磚引玉了.

1. $targetFolder = '/uploads'; // 定義根目錄 
2.  
3. if (!emptyempty($_FILES)) { 
4.  
5.     $tempFile = $_FILES['Filedata']['tmp_name']; 
6. //開源軟件:Vevb.com 
7. if(is_uploaded_file($tempFile)) 
8.  
9. { 
10.  
11.     $targetPath = $_SERVER['DOCUMENT_ROOT'] . $targetFolder; 
12.  
13.     $targetFile = rtrim($targetPath,'/') . '/' . $_FILES['Filedata']['name']; 
14.  
15.     $fileTypes = array('jpg','jpeg','gif','png'); // 允許的后綴擴展 
16.  
17.     $fileParts = pathinfo($_FILES['Filedata']['name']); 
18.  
19.     if (in_array($fileParts['extension'],$fileTypes)) { 
20.  
21.         move_uploaded_file($tempFile,$targetFile); 
22.  
23.         echo '1'; 
24.  
25.     } else { 
26.  
27.         echo '非法上傳文檔.'; 
28.  
29.     } 
30.  
31. }else 
32.  
33. { 
34.  
35.    echo "非法上傳文件"; 
36.  
37. } 
38.  
39. } 

上面的這種方式基本就滿足了文件上傳,但我需要的不是這樣的.

上傳功能

需求:先點擊上傳文檔,然后選擇上傳文件,JS上傳后會返回一個值,顯示當前時間戳問名稱的文件在文檔名稱這個框框中.

然后點擊提交后,提交表單,服務器處理提交的表單,對上傳的文件進行重命名,問題也隨之而來了,服務器是IIS的,然后它是用的映射的方式實現的虛擬跟目錄.

這樣的話$_SERVER[‘DOCUMENT_ROOT’]就不在PHP站點的根目錄,雖然完成了上傳的功能,但無法下載這個文件,從服務器的安全考慮,還是打算把文件放在PHP站點內.

然后我就陷進了一個思維局限中.

再仔細想一想:為何我不用實現PHP的上傳機制的方式在重復一次,PHP不是將文件先放到臨時目錄里面嗎？然后我為嘛假設JS上傳成功后的目錄也是一個臨時目錄,然后在再一次提交表單的時候進行文件復制,到指定的目錄這樣就完成了需要的功能.

PHP有一個文件復制函數Copy(); 然后在配合rename()函數,這樣就可以完成上傳后文件的第二次移動和重命名了.

注意:在window平臺下如果復制一個零字節的文件,copy() 將返回 FALSE,但文件也會被正確復制.

然后PHP在文件處理上,積極的參考了Liunx的文件處理機制,PHP的文件操作效率,這跟I/O對寫和操作系統有關.

總結:其實解決問題的方式很多,而且不要給自己畫圈從而限定自己的思維.