我有一个脚本,允许任何人上传200 MB以下的文件,文件下载后删除文件,24小时后,所有文件都从服务器上删除。我的问题是如何限制某人上传文件的次数。如果有人要在一小时内上传3个文件,如果他们要上传第4个文件,他们需要输入验证码以确保它们不是机器人。但是我该怎么做呢?
上传代码:
<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js"></script>
<script>
function _(el){
return document.getElementById(el);
}
function uploadFile(){
var file = _("file1").files[0];
//alert(file.name+" | "+file.size+" | "+file.type);
var formdata = new FormData();
formdata.append("file1", file);
var ajax = new XMLHttpRequest();
ajax.upload.addEventListener("progress", progressHandler, false);
ajax.addEventListener("load", completeHandler, false);
ajax.addEventListener("error", errorHandler, false);
ajax.addEventListener("abort", abortHandler, false);
ajax.open("POST", "upload.php");
ajax.send(formdata);
}
function progressHandler(event){
//_("loaded_n_total").innerHTML = "Uploaded "+event.loaded+" bytes of "+event.total;
var percent = (event.loaded / event.total) * 100;
var percent = (event.loaded / event.total) * 100;
_("progressBar").value = Math.round(percent);
_("status").innerHTML = Math.round(percent)+'%';
}
function completeHandler(event){
_("completed").innerHTML = event.target.responseText;
_("progressBar").value = 100;
}
function errorHandler(event){
_("status").innerHTML = "Upload Failed";
}
function abortHandler(event){
_("status").innerHTML = "Upload Aborted";
}
</script>
<body>
<input type="button" value="Upload File" onclick="uploadFile()" class="UploadButton">
<progress id="progressBar" value="0" max="100">
</progress>
</body>
php upload script:
<?php
include('connect.php');
$file = $_FILES["file1"]["name"];
if ($file == "") {
// if file not chosen
exit();
}
$ogname = $_FILES["file1"]["name"];
// The file name
$length = 20;
$randomString = substr(str_shuffle("0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"), 0, $length);
$num = rand () ;
$key = md5($num);
$info = pathinfo( $ogname );
$ext = $info['extension'];
$fileName = $randomString . "." .$ext;
//gets ip address of client
//Test if it is a shared client
if (!empty($_SERVER['HTTP_CLIENT_IP'])){
$ip=$_SERVER['HTTP_CLIENT_IP'];
//Is it a proxy address
}elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])){
$ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
$ip=$_SERVER['REMOTE_ADDR'];
}
//returns ip to be stored later
$downloads = 0;
$time = 0;
$fileTmpLoc = $_FILES["file1"]["tmp_name"];
// File in the PHP tmp folder
$fileType = $_FILES["file1"]["type"];
// The type of file it is
$fileSize = $_FILES["file1"]["size"];
if($fileSize > 209715201){
// if too large
exit();
}
// File size in bytes
$fileErrorMsg = $_FILES["file1"]["error"]; // 0 for false... and 1 for true
if (!$fileTmpLoc) {
// if file not chosen
exit();
}
if(move_uploaded_file($fileTmpLoc, "files/$fileName"))
{
//success
mysql_query("INSERT INTO file(name, ogname, type, size, tmp_name, keyID, ip, time, downloads)
VALUES('$fileName', '$ogname', '$fileType', '$fileSize', '$fileTmpLoc', '$key', '$ip', '$downloads', '$time')");
}else {
//not uploaded
}
?>
答案 0 :(得分:1)
首先,您需要一种方法来告诉一个用户。
如果用户必须先登录您的网站才能上传这些文件,那么这部分很简单:您知道哪个用户正在上传每个文件,因为他们已登录。
如果没有 - 如果您不愿意添加登录要求 - 您将不得不采取不同的方法。有两种可能的方法,都不完美:
一个。假设$_SERVER['REMOTE_ADDR']中的每个唯一IP地址都是不同的用户。
这是不完美的,因为不同的用户有时会拥有相同的IP地址(例如,如果他们从同一公司网络中访问您的网站),那么这种方法可能会错误地断定用户已超出其配额(即使他们没有)。
或的
湾使用PHP sessions;它专门用于唯一识别访客。
这个不完美,因为它很容易被规避 - 用户可以清除他们的cookie,或者使用不同的浏览器,并且该网站会认为他们是不同的用户。
如果您需要一个无法规避的硬限制,那么您需要登录。如果上传限制更多是礼貌,并且如果有人碰巧绕过它,那么它不是世界末日,那么你需要选择哪个对你来说更重要:稍微好一点(但仍然相当弱)的安全性,代价是一些误报(选择选项a)或略微更好的用户友好性,代价是安全性更差(选择选项b)。
答案 1 :(得分:0)
您需要一种识别用户的方法,并跟踪他们目前已上传的文件数量。 我可能会使用一个数据库来存储标识值的组合(例如IP,主机,浏览器)并保留一个带有时间戳的计数器。