php的文件上传入门教程（实例讲解）

web前端|js教程

php,文件上传,入门教程

web前端-js教程

A、文件上传

为了让客户端的用户能够上传文件，我们必须在用户界面中提供一个表单用于提交上传文件的请求。由于上传的文件是一种特殊数据，不同于其它的post数据，所以我们必须给表单设置一个特殊的编码:

京东商城源码安装教程,vscode设置开发语言,ubuntu清空系统,sts导入没有tomcat,sqlite3查询的返回值,小马爬虫,怎么部署php网站,中国seo招商加盟项目,移动端企业网站模板下载,马克斯如何更换模板lzw

以上的enctype属性，你可能不太熟悉，因为这常常会被忽略掉。但是，如果http post请求中既有常规数据，又包含文件类数据的话，这个属性就应该显示加上，这样可以提高针对各种浏览器的兼容性。

接下来，我们得向表单中添加一个用于上传文件的字段：

上述文件字段在各种浏览器中可能表现会有所不同。对于大多数的浏览器，上述字段都会被渲染成一个文本框加上一个浏览按钮。这样，用户既可以自行输入文件的路径到文本框中，也可以通过浏览按钮从本地硬盘上选择所要上传的文件。但是，在苹果的Safari中，貌似只能使用浏览这种方式。当然，你也可以自定义这个上传框的样式，使它看起来比默认的样式优雅些。

下面，为了更好的阐述怎么样处理文件上传，举一个完整的例子。比如，以下一个表单允许用户向我的本地服务器上上传附件：

请上传你的附件:

windows分区工具源码,vbox中ubuntu安装,爬虫获取视频更新,php正则表达式练习运行图,seo还重要lzw

提示：可以通过php.ini中的upload_max_filesize来设置允许上传文件的最大值。另外，还有一个post_max_size也可以用来设置允许上传的最大表单数据，具体意思就是表单中各种数据之和，所以你也可以通过设置这个字段来控制上传文件的最大值。但是，注意后者的值必须大于前者，因为前者属于后者的一部分表单数据。

互助网站源码下载,ubuntu怎么用ssr,tomcat启动到最后闪退,app如何识别爬虫,php日历表代码平铺显示,seo元创lzw

图1. 显示在在firefox中的上传表单

当这个表单提交的时候，http请求会被发送到upload.php。为了显示具体哪些信息可以在upload.php中使用，我在upload.php将其打印出来:

header(Content-Type: text/plain);

print_r($_FILES);

下面来做个试验，假如我通过以上表单上传一个本博客的logo到我的本地服务器www.360weboy.me/upload.php，看看在upload.php中会输出什么信息：

Array

(

[attachment] => Array

(

[name] => boy.jpg

[type] => image/jpeg

[tmp_name] => D:\xampp\tmp\php1168.tmp

[error] => 0

[size] => 11490

)

以上就是文件上传后，在全局数组中的关于当前上传文件的所有信息。但是，我们是否能够保证这些信息是安全的，假如name或者其它信息被篡改过了呢？我们时刻需要对来自客户端的信息保持警惕！

具体的http请求的各个部分

为了更好的理解文件上传，我们必须核对下客户端发送的http请求中到底包含了那些具体的信息。先前我上传的附件是本博客的logo，因为是图片，不太适合我们做以上实验。所以，我重新上传一个test.text文本文件，其中具体包含了以下内容：

360w

360days

Life Of A Web Boy

Okay。现在我上传这个文本文件，在upload.php中会输出：

Array

(

[attachment] => Array

(

[name] => test.txt

[type] => text/plain

[tmp_name] => D:\xampp\tmp\php51C0.tmp

[error] => 0

[size] => 40

)

我们再来看下相关的浏览器发送的http post请求(一些可选的头部我省略了)：

POST /upload.php HTTP/1.1

Host: www.360weboy.me

Referer: http://www.360weboy.me/

multipart/form-data; boundary=---------------------------24464570528145

Content-Length: 234

-----------------------------24464570528145

Content-Disposition: form-data; name="attachment"; filename="test.txt"

Content-Type: text/plain

360weboy

360days

Life Of A Web Boy

-----------------------------24464570528145--

从上面的请求格式中有几个字段我们要关注下的，分别是name, filename以及Content-Type.它们分别表示上传文件框在form表单中的字段名-attachment，用户从本地硬盘中上传的文件名 – test.txt,以及上传的文件格式 – text/plain(代表文本文件)。然后，我们看到一行空行下面的，就是这个上传文件中的具体内容。

B、安全性的加强

为了加强文件上传中的安全性，我们需要检查下$_FILES全局数组中的tmp_name和size。为了确保tmp_name指向的文件确实是刚刚用户在客户端上传的文件，而不是指向的类似/etc/passwd,可以使用php中的函数is_uploaded_file()来进行下判断：

$filename = $_FILES[attachment][ mp_name];

if (is_uploaded_file($filename)) {

/* 是一个上传的文件. */

}

某些情况下，用户上传文件后，可能会将上传成功的文件的内容显示给用户看下，那么上述代码的检查尤其重要。

另外一个需要检查的就是上传文件的mime-type, 也就是上述upload.php中输出数组的type字段。我在第一个例子中上传的是一个图片，所以$_FILES[attachment][ ype]的值为image.jpeg alt="php的文件上传入门教程（实例讲解）" title="php的文件上传入门教程（实例讲解）"。如果打算在服务器端只接受image/png, image/jpeg, image/gif, image/x-png 以及 image/p-jpeg这些mime-type的图片，可以用类似下面的代码了进行检查(只是举个例子，具体代码，比如报错等，应该遵循你的系统中的机制):

$allow_mimes = array(

image/png,

image/x-png,

image/gif,

image/jpeg,

image/pjpeg

);

$image = $_FILES[attachment];

if(!in_array($image[ ype], $allow_mimes)) {

die(对不起, 你上传的文件格式不准确；我们只接受图片文件.);

}

// 继续处理上传的图片文件

正如你看到的，我们已经保准了文件的mime-type是符合服务器端的要求的。但是，这样是不是就可以防止恶意用户上传其它有害文件，还是不够的，因为这个mime-type恶意用户是可以伪装的。比如用户做了一张jpg图片，在图片的元数据中写入了一些恶意的php代码，然后保存为后缀名为php的文件。当这个恶意文件上传的时候，将顺利通过服务器端对于mime-type的检查，被认为是一张图片，里面的危险的php代码将会被执行。具体的图片的元数据类似如下:

File name : image.jpg

File size : 18 bytes

File date : :11:27 7:45:10

Resolution : 1197 x 478

Comment: passthru($_POST[cmd]); __halt_compiler();

我们可以看到，在图片元数据的Comment字段中加入了php代码。所以，很显然，为了防止类似危险情况发生，还必须对上传文件的扩展名进行一次必要的检查。下面的代码对前面的检查Mime-type的代码进行了加强：

$allow_mimes = array(

image/png => .jpg,

image/x-png => .jpg,

image/gif => .jpg,

image/jpeg => .jpg,

image/pjpeg => .jpg