菜单

html+php上传图片文件到服务器

2019年2月18日 - 金沙编程资讯


<form action=”” method=”post” enctype=”multipart/form-data”>

for($i=0;$i<count($up_info[‘name’]);$i++){

html+php上传图片文件到服务器

一.html代码

1 <body>
2 <form action="" method="post" enctype="multipart/form-data" name="upload_form">
3  <label>选择图片文件</label>
4  <input name="imgfile" type="file" accept="image/gif, image/jpeg"/>
5   <input name="upload" type="submit" value="上传" />
6 </form>
7 </body>

二.php代码

 1 if (isset($_FILES['imgfile']) 
 2 && is_uploaded_file($_FILES['imgfile']['tmp_name']))
 3 {
 4  $imgFile = $_FILES['imgfile'];
 5 $upErr = $imgFile['error'];
 6 if ($upErr == 0)
 7 {
 8 $imgType = $imgFile['type']; //文件类型。
 9 /* 判断文件类型,这个例子里仅支持jpg和gif类型的图片文件。*/
10 if ($imgType == 'image/jpeg'
11 || $imgType == 'image/gif')
12 {
13 $imgFileName = $imgFile['name'];
14 $imgSize = $imgFile['size'];
15 $imgTmpFile = $imgFile['tmp_name'];
16 /*
17  将文件从临时文件夹移到上传文件夹中。
18 注意:upfile这个文件夹必须先创建好,不然会报错。
19 */
20 move_uploaded_file($imgTmpFile, 'upfile/'.$imgFileName);
21 /*显示上传后的文件的信息。*/
22 $strPrompt = sprintf("文件%s上传成功<br>"
23 . "文件大小: %s字节<br>"
24 . "<img src='upfile/%s'>"
25 , $imgFileName, $imgSize, $imgFileName
26 );
27 echo $strPrompt;
28 }
29 else
30 {
31 echo "请选择jpg或gif文件,不支持其它类型的文件。";
32 }
33 }
34 else
35 {
36 echo "文件上传失败。<br>";
37 switch ($upErr)
38 {
39 case 1:
40  echo "超过了php.ini中设置的上传文件大小。";
41 break;
42 case 2:
43  echo "超过了MAX_FILE_SIZE选项指定的文件大小。";
44 break;
45 case 3:
46  echo "文件只有部分被上传。";
47 break;
48 case 4:
49  echo "文件未被上传。";
50 break;
51 case 5:
52  echo "上传文件大小为0";
53 break;
54 }
55 }
56 }
57 else
58 {
59 }

三.php代码分析:

$_FILES是3个数组变量,用于保存上传后的文本新闻。

$_FILES[‘imgfile’]意味着文件域名称为’imgfile’的控件提交服务器后,上传的文本的音讯。

一个上传的文件,有以下属性消息:

‘name’:
上传的公文在客户端的称号。

‘type’:
文件的 MIME 类型,例如”image/jpeg”。

‘size’:
已上传文件的轻重缓急,单位为字节。

‘tmp_name’:上传时,在服务器端,会把上传的文本保留到多少个一时半刻文件夹中,可以由此此属性拿到目前文件名。

‘error’:文件在上传进程中的错误代码。要是上传成功,此值为0,别的值的含义如下:

 1:当先了php.ini中设置的上传文件大小。

 
2:超过了MAX_FILE_SIZE选项钦点的文件大小。

 
3:文件唯有局部被上传。

 
4:文件未被上传。

 
5:上传文件大小为0。

代码中率先判断$_FILES[‘imgfile’]变量是还是不是存在,如果存在,并且$_FILES[‘imgfile’][‘tmp_name’]变量所指文件被上传了,判断error属性,倘使属性为0,把上传后的图像从一时半刻文件夹移到upfile文件夹中,突显上传文件的新闻,并出示上传后的图像。

如若error值不为0,表示上传战败,呈现失利消息。

四.完好代码

 1 <!DOCTYPE html >
 2 <html lang="en">
 3 <head>
 4 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
 5 <title>上传图片文件</title>
 6 </head>
 7 <?php
 8 if (isset($_FILES['imgfile']) 
 9 && is_uploaded_file($_FILES['imgfile']['tmp_name']))
10 {
11  $imgFile = $_FILES['imgfile'];
12 $upErr = $imgFile['error'];
13 if ($upErr == 0)
14 {
15 $imgType = $imgFile['type']; //文件类型。
16 /* 判断文件类型,这个例子里仅支持jpg和gif类型的图片文件。*/
17 if ($imgType == 'image/jpeg'
18 || $imgType == 'image/gif')
19 {
20 $imgFileName = $imgFile['name'];
21 $imgSize = $imgFile['size'];
22 $imgTmpFile = $imgFile['tmp_name'];
23 /* 将文件从临时文件夹移到上传文件夹中。*/
24 move_uploaded_file($imgTmpFile, 'upfile/'.$imgFileName);
25 /*显示上传后的文件的信息。*/
26 $strPrompt = sprintf("文件%s上传成功<br>"
27 . "文件大小: %s字节<br>"
28 . "<img src='upfile/%s'>"
29 , $imgFileName, $imgSize, $imgFileName
30 );
31 echo $strPrompt;
32 }
33 else
34 {
35 echo "请选择jpg或gif文件,不支持其它类型的文件。";
36 }
37 }
38 else
39 {
40 echo "文件上传失败。<br>";
41 switch ($upErr)
42 {
43 case 1:
44  echo "超过了php.ini中设置的上传文件大小。";
45 break;
46 case 2:
47  echo "超过了MAX_FILE_SIZE选项指定的文件大小。";
48 break;
49 case 3:
50  echo "文件只有部分被上传。";
51 break;
52 case 4:
53  echo "文件未被上传。";
54 break;
55 case 5:
56  echo "上传文件大小为0";
57 break;
58 }
59 }
60 }
61 else
62 {
63 /*显示表单。*/
64 ?>
65 <body>
66 <form action="" method="post" enctype="multipart/form-data" name="upload_form">
67  <label>选择图片文件</label>
68  <input name="imgfile" type="file" accept="image/gif, image/jpeg"/>
69   <input name="upload" type="submit" value="上传" />
70 </form>
71 </body>
72 <?php
73 }
74 ?>
75 </html>

记录时间:二零一八年11月211日19:55:27

<?php //request the parameter from form if($_POST["submit"]=="Upload & Send"){  //检测是否提交 $file_name= $_FILES['userfile']['name'] ; $tmp_name = $_FILES['userfile']['tmp_name']; //upload file if(is_uploaded_file($tmp_name)){ $dest_dir='upLoad';                        //上传文件的路径 $dest=$dest_dir.'/'.time()."_".$file_name; //为了避免重复提交,将每次上传的文件名前加上时间戳 $r=move_uploaded_file($tmp_name,$dest);      }else { echo "file upload failed !"; } ?>

<input type=”submit” >
</form>

$_FILES参数详解:

正文将介绍PHP已毕上传文件的大旨机制:     
上传文件分为五个部分,HTML突显部分和PHP处理局地,HTML部分相当重假诺让用户来挑选所要上传的文件,
然后经过PHP中的$_FILES,大家得以把公文上盛传服务器的钦命目录。
一晃儿是代码和有关申明:
先来看一下HTML部分:

不直接采纳服务器传入值,全体都要举行检测

文本上传的最宗旨格局,是接纳HTML表单接纳地面文件进行付出,在form表单中得以透过<input
type=”file”>标记接纳地面文件。如果扶助文件上传操作,必须在<form>标签中校enctype和method五个天性指明相应的值,如下所示:
★enctype=”multipart/form-data”用来内定表单编码数据格局,让服务器知道,我们要传递一个文书,并包含常规的表单音讯。
★method=”POST”用来指明发送数据的法门。
此外,还索要在form表单中设置1个hidden类型的input框。其中name的值为MAX_FILL_SIZE的躲藏值域,并透过安装其VALUE的值限制上传文件的轻重(单位字节),但以此值不只怕领先PHP的部署文件中upload_max_filesize值设置的深浅。文件上传表单代码如下所示:

<form action="upload.php" method="post" enctype="multipart/form-data" action="<?php echo $PATH_INFO?>">    上传:<input type="file" name="myfile" />         <input type="submit" name="submit" value="上传" /> </form>

以上2个措施,一起利用,可以确保文件正确存到地点,然后,权限可以操纵。
那里顺便表明下,
判断用户上存文件是还是不是知足须求类型,就径直检查文件伸张名,只要满足增添名就让上存。
反正,做了举办权限限制,你不按须求上存内容,也不妨。
反正,不恐怕进行,也不会有多大风险性的。

<input type=”file” name=”pic[]” /><br><br>

说明:
为了促成公文上传,在form中大家定义了如下属性:
enctype=”multipart/form-data”,这一个本性是必备的。
action定义文件提交路径:上传出当前路线
method定义提交方法:post。
在input中,大家应用type=”file”属性,来表示浏览文件。
再来看多少个php处理局地:

 代码如下

下一场对于upload.php处理公事大家若是遍历数组pic[]就可以了,

版权表明:本文为博主原创文章,未经博主允许不得转发。

<input type=”file” name=”file” />

<input type=”hidden” name=”MAX_FILE_SIZE” value=””>

对于$_FILES[] ,大家有须求通晓以下文化:
$_FILES[‘myfile’][‘name’]  是指被上传文件的称号
$_FILES[‘myfile’][‘type’]  是指被上传文件的系列
$_FILES[‘myfile’][‘size’]  是指被上传文件的深浅,单位为字节(B)
$_FILES[‘myfile’][‘tmp_name’]
 是指被上传文件存在服务器中的一时副本文件名称,文件被移位到钦命目录后临文件将被自动消毁。
$_FILES[‘myfile’][“error”]
 是指由文件上传中有只怕出现的错误的状态码,error的错误代码如下:
0; 文件上传成功。
1; 超越了文件大小php.ini中。
2;   领先了文件大小 MAX_FILE_SIZE 选项指定的值。
3; 文件只有局地被上传。
4; 没有公文被上传。
5; 上传文件大小为0。
上传文件的多个为主函数:
bool move_uploaded_file ( string filename, string destination)
函数成效: 将上传的公文移动到新岗位。
率先个参数与’tmp_name’对应,第三参数是实在的上传路径,重临bool类型的值。
bool is_uploaded_file ( string filename)

2.投机定义生成的文书名,目录,伸张名可以来自文件名增加名。
其它值,都要好配置,不读取上存中情节

该函数判断内定的文件是或不是是通过HTTP
POST上传的,若是是则赶回TRUE。用于避免潜在的攻击者对原先不可以由此脚本交互的文件举行不法管理,那足以用来保险恶意的用户无法欺骗脚本去拜谒本不能够访问的公文,例如/etc/passwd。此函数的原型如下所示:

函数作用:判断文件是还是不是是通过 HTTP POST 上传的。

$_FILES[‘file’][‘tmp_name’]的值是由PHP设置的,与公事原始名称差异,开发者必须拔取$_FILES[‘file’][‘name’]来取得上传文件的本来名称。

//这样//foreach
循环处理几个文本上传

以上即为上传文件的核心机制,如有讲解有误,还望指出。

将php网马的头顶写入GIF 如图:

bool is_uploaded_file(string) //判断钦命的公文是不是是通过HTTP
POST上传的

让保存上存目录独立开来,目录权限只读不能够实施
这一步从系统规划加以授权,无论你上次什么文件,都不容许进行到。固然本人不做其它检测,你的公文都上存到那里了,也不会对自作者系统组合安全。(如若有用户上存一些反革命言语的图片,那其它索要处理的)

<input type=”file” name=”pic[]” /><br><br>

if($_FILES){
 echo ‘以下是荒唐的$_FILES:<br/>’;
 echo “<pre>”;
 print_r($_FILES);
 echo “</pre>”;

首先:在php.ini里面查看如下行:

首先是print_r($_FILES) 直接显示的是增添的jpg结果。
下一场是php函数getimagesize()的结果是gif(它以文件发轫那段为判断依据)。

 代码如下

以此事例没有检验文件后缀,可以上传任意文件,很明显的上传漏洞,要消除地点的题材很简单,大家从一段代码来看。

</form>

以此是用来限制用户上传的类型号或后缀名了,那样可以过滤简单不可能直接上传php了,可是大家再看二个实例,你绘发现太可怕了。

1.客户端上传设置

如果提须求网站访问者上传图片的作用,那必须小心访问者上传的实际大概不是图表,而是可以指定的PHP程序。固然存放图片的目录是壹个开放的文书夹,则凌犯者就可以远程执行上传的PHP文件来展开抨击。

<html>
<head><title>文件上传</title></head>
<body>
<form action=’upload.php’ method=”post”
enctype=”multipart/form-data”>
<input type=”hidden” name=”MAX_FILE_SIZE” value=”1000000″>
选用文件<input type=”file” name=”上传文件”>
</form>
</body>
</html>

上传文件时的错误音信

为了能使此函数不奇怪办事,唯一的参数必须钦命类似于$_FILES[‘userfile’][‘tmp_name’]的变量,才能看清内定的公文确实是上传文件。尽管运用从客户端上传的文书名$_FILES[‘userfile’][‘name’]则不或许符合规律运作。

                [size] => 536                //文件大小,单位字节

如果我们要多文本上传只要简单对此html上传表单以数量格局操作

3.将文件 移到新目录(那几个目录权限设置只读)

upload.php服务器端

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图