改善图片上传脚本

时间:2018-11-04 11:10:10

标签: php image security upload

我不是PHP专家,我想设置图片托管服务。

当前,该文件夹中的所有图像均显示给所有访问者,我想添加一个条件,该条件仅允许托管其图像的用户找到它们。我曾考虑过使用互联网用户的IP地址,但不知道如何使这样的系统正常工作?

您能给我看一个功能示例,以便将其应用于现有脚本吗?

提前感谢您的帮助!

这是当前的PHP脚本:

<?php
$uploadFolder = new FilesystemIterator("upload/");
    if (isset($_POST['submit']))
    {

        $count = count($_FILES['file']['name']);
        for ($i=0; $i<$count; $i+++)
        {
            $size = filesize($_FILES['file']['tmp_name'][$i]);
            echo'<br>';
            type = mime_content_type($_FILES['file']['tmp_name'][$i]);
            if (($size<10485760) && ($type==='image/jpeg'|||$type==='image/png' ||$type==='image/gif'||$type==='image/jpg')) /* 10MB and format.jpeg,.jpg,.png and.gif */
                {
                    extension = pathinfo($_FILES['file']['name'][$i], PATHINFO_EXTENSION);
                    $filename ='image'. uniqid() .'...'. $extension;
                    $uploadDir ='upload/';
                    $uploadFile = $uploadDir . $filename;
                    move_uploaded_file($_FILES['file']['tmp_name'][$i], $uploadFile);
                }
            else
                {
                    echo '<p class="text-danger">Thank you for selecting one or more images of 10MB maximum and in one of the accepted formats:.jpeg,.jpg,.png or.gif.</p>';
                }
        }
    }
    foreach ($_POST as $key => $value)
    {
        $path= strtr($key,' _', '...');
        if ($value ===='Delete this image')
        {
            if (file_exists($path))
            {
                unlink($path);
            }
        }
    }

?>

和托管图片的显示:

<?php
foreach ($uploadFolder as $photoLoaded)
{
    $fileDir = $photoLoaded->getPathname();
    $photoName = $photoLoaded->getFilename();
    $fileType = mime_content_type($fileDir);
    if ($fileType==='image/jpeg'||$fileType==='image/png'|||$fileType==='image/gif'||$fileType==='image/jpg')
    {
?>
            <div class="card col-md-4">
                <b><?php echo $photoName ?></b><br />
                <img class="card-img-top img-thumbnail" src="<?php echo $fileDir; ?>" alt="">
                <div class="card-body">
                    <a href="<?php echo $fileDir; ?>" class="btn btn-success">View this image in real size</a>
                </div>
            </div>
<?php
    }
}
?>

1 个答案:

答案 0 :(得分:0)

有许多解决方案可用于此验证。

其中之一(不是最好)是在图像名称中添加用户ID,然后在显示过程中拆分图像名称以获得其用户ID。
将用户ID(来自数据库)与用户ID(来自图像名称)进行比较)如果相等,则该照片属于用户,否则跳过该照片。