【问题标题】:HTML/PHP File UploadHTML/PHP 文件上传
【发布时间】:2012-09-23 09:33:22
【问题描述】:

所以我希望用户只能上传文档或 docx。所以首先这是我的html:

<form action="upload_file.php" method="post" enctype="multipart/form-data">
    Select a file: <input type="file" name="img">
    <input type="submit">
</form>

这是我的 php:

$allowedExts = array("doc", "docx");
    $extension = end(explode(".", $_FILES["file"]["name"]));

    if ($extension!=".doc" || $extension!=".doc"
    && ($_FILES["file"]["size"] < 200000)
    && in_array($extension, $allowedExts)) {
        if ($_FILES["file"]["error"] > 0)
        {
            echo "Return Code: " . $_FILES["file"]["error"] . "<br />";
        }
        else
        {
            echo "Upload: " . $_FILES["file"]["name"] . "<br />";
            echo "Type: " . $_FILES["file"]["type"] . "<br />";
            echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
            echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />";

            if (file_exists("Proposals/" . $_FILES["file"]["name"]))
            {
                echo $_FILES["file"]["name"] . " already exists. ";
            }
            else
            {
                move_uploaded_file($_FILES["file"]["tmp_name"],
                "Proposals/" . $_FILES["file"]["name"]);
                echo "Stored in: " . "Proposals/" . $_FILES["file"]["name"];
            }
        }
    } else {
        echo "Invalid file";
    }

每次我尝试上传文件时,无论是 doc 还是 png,它都会输出:

Upload: 
Type: 
Size: 0 Kb
Temp file: 
already exists.

最终没有任何东西上传到提案文件夹。所以我有两个问题:
1) 我的代码有什么问题?
2) 它重定向到upload_file.php 并显示一条消息。有没有办法真正返回主页并显示成功的文本?

【问题讨论】:

  • 再次阅读示例,您使用的是 name="img" 而不是 name="file" w3schools.com/php/php_file_upload.asp
  • 不要相信来自用户的['type']数据,它可以被伪造。使用服务器端 mime 类型确定,但还要注意 .docx 文件实际上只是一个 .zip 文件,其中包含一堆其他文件(主要是 xml)。另外,您直接使用['name'] 来保存您的文件,从而允许恶意用户在您的服务器上的任何位置写入文件。简而言之,您的脚本是对您的服务器的公开邀请。

标签: php html file file-upload upload


【解决方案1】:

第一个问题已经回答过了,我不再回答。

2) 它重定向到upload_file.php 并显示一条消息。有没有办法真正返回主页并显示成功的文本?

通常最好在重定向页面上显示成功消息,但您可以通过以下两种方式解决:

  • 存储以前的 URL(或知道它)并使用 header("Location: old_page.php"); 重定向到它
  • 将表单的目标设为 iframe。这意味着主页本身不会重定向,您只需从 upload_file.php(将加载到 iframe)中冒泡响应,从而为您的应用无缝上传。

这也不是获得文件扩展名的最佳方式:

$extension = end(explode(".", $_FILES["file"]["name"]));

尝试改用 pathinfo:http://php.net/manual/en/function.pathinfo.php

$extension = pathinfo( $_FILES["file"]["name"], PATHINFO_EXTENSION);

还有你的if 声明:

if ($extension!=".doc" || $extension!=".doc"
    && ($_FILES["file"]["size"] < 200000)
    && in_array($extension, $allowedExts)) {

尽管 in_array 的用法很小,但我仍然建议将其去掉并使用更实用的方法来搜索数组:http://php.net/manual/en/function.array-search.php

所以你的if 会变成这样:

if (($_FILES["file"]["size"] < 200000) && array_search($extension, $allowedExts)!==false) {

【讨论】:

  • @AnthonyHatzopoulos 因为他没有把我的答案作为他的答案?我的回答和他的完全不同
【解决方案2】:

您的文件字段名称是img,并且您使用过$_FILES["file"],但它应该是$_FILES["img"]

你还需要改变你的 if 条件

if (($_FILES["file"]["size"] < 200000)
    && in_array($extension, $allowedExts)) {

不需要

$extension!=".doc" || $extension!=".doc" &&

【讨论】:

    【解决方案3】:

    您必须使用 $_FILES["img"] 而不是 $_FILES["file"] 或将您的输入名称重命名为“文件”。

    【讨论】:

      【解决方案4】:
      1. 尝试使用 $_FILES["img"] 数组来访问上传的文件属性(您的“选择文件”输入名为“img”)。

      2. 您可以使用“Location”http 标头重定向回源页面。

      【讨论】:

        【解决方案5】:

        改变

        $extension!=".doc" || $extension!=".doc"
        

        $extension!=".doc" || $extension!=".docx"
        

        并使用$_FILES['img'] 而不是$_FILES['file'],因为您的文件类型具有img 名称属性。

        【讨论】:

          猜你喜欢
          • 1970-01-01
          • 2023-02-06
          • 2012-09-23
          • 1970-01-01
          • 1970-01-01
          • 2014-11-07
          • 2012-06-14
          • 1970-01-01
          • 1970-01-01
          相关资源
          最近更新 更多