【发布时间】:2011-05-01 16:25:04
【问题描述】:
我创建了一个包含 3 个 <input type="file"/> 的表单
我看到我得到了一个带有array(name=>"") 的数组。
所以我改为检查if ($_FILE["myfilename"]["name"]=="")。
这可行,但对我来说似乎很不寻常。
我想知道是否有更好的方法来检查文件输入是否已设置?
【问题讨论】:
【发布时间】:2011-05-01 16:25:04
【问题描述】:
有:is_uploaded_file()。在处理上传的文件时,出于安全原因,您应该始终使用它(及其表亲move_uploaded_file())。
【讨论】:
-
我对@987654325@ 的用处感到困惑。在 PHP 源代码中似乎存在一个辅助哈希。但这些值始终与
$_FILES[*]['tmp_name']中的值相同。它不检查任何其他内容。不确定如何在脚本运行时向 $_FILES 注入一些东西。 (如果您使用move_uploaded_file,Is_uploaded_file将是多余的,因为它包含复制和粘贴完全相同的测试。) -
@mario 曾经在 PHP 4 中存在一个漏洞,我实际上曾经设法闯入朋友的 phpBB:可以将本地文件路径(想想
../config.php)注入tmp_name,导致该文件被复制到公共uploads/目录或任何地方。is_uploaded_file()是针对这一点引入的。不使用is_uploaded_file()是否还存在漏洞,我不知道,从没查过 -
有趣。那么,这一切都是你的错吗?对黑客行为投了反对票.. ;}
-
我对文件上传概念还是很陌生。所以,如果我做对了,当我按下表单上的上传按钮时,服务器已经在上传文件,因此 is_uploaded_file。 if is_uploaded_file($_FILES["inputFieldName"]){ move_uploaded_file($_FILE["inputFieldName"],$destinationFolder) } 正确吗?
-
@ndefontenay 后半部分是正确的;前者不是:当您单击上传按钮时,上传开始。 所有文件都已完全上传后,PHP 脚本就会生效。
is_uploaded_file()只是检查FILES数组的一种奇特(并且如上所述,安全性增强)方式
假设您使用的是最新的 PHP (4.2+),最好的方法是检查:
$_FILE['myfilename']['error'] === UPLOAD_ERR_OK
如果这是真的上传工作,你可以看到其他可能的值列表here
【讨论】:
-
你应该使用严格相等比较
===。如果您应该在 ERR_OK 常量上创建类型,则常规比较将给出错误的“ok”。 -
马克点非常好,尤其是它的值是 (int)0。
你可以试试这个:
if($_FILES['myfilename']['size'] > 0 ) {
}
else{
echo 'File is not uploaded . . .';
}
【讨论】:
试试这个:
if($_FILES["uploadImg"]['name'][0] != ''){
//echo 'file attached';
}else{
//echo 'no file attached';
}
这对我有用...
【讨论】: