上传多个文件php和mysql

时间:2011-11-11 22:17:24

标签: php mysql file-upload upload

我试图允许用户上传任意数量的图像,根据表单的标题将它们全部放在新目录中,然后将该文件夹名称写入数据库,我稍后会调用它做一个图像转储。

所以我现在已经工作了好几天了,而且已经走到了这一步

if(isset($_POST['Submit']))
{  $ttitle = $_POST['ttitle'];

    $file_dir = './../img/treatments/';
    foreach( $_FILES as $file_name => $file_array ){
    $current_image=$_FILES['image']['name'][0];
    $extension = substr(strrchr($current_image, '.'), 1);
if (($extension!= "png") && ($extension != "jpg")) 
{
die('Unknown extension');
}
$time = date("fYhis");
$new_image = $time . "." . $extension;
$new_dir = mkdir("./../img/treatments/" . $ttitle, 0700);
$destination= $new_dir && $new_image;
$action = copy($_FILES['image']['tmp_name'], $destination);
    }

  $last_name = $_POST['last_name'];
  $username = $_POST['username'];
  $pass = $_POST['pass'];
  $text = $_POST['text'];
  $bio = $_POST['bio'];
  $tsub = $_POST['tsub'];
  $image = $ttitle; 
if (!$action) 
{
die('File copy failed');
}else{
echo "File copy successful";
}

然后是html表单

<form method='post' enctype='multipart/form-data' action='#'>
<table width="100%" border="0" cellspacing="0" cellpadding="0"><tr><td width="40%" class="right">

Title: </td><td width="60%" class="left"><input type="text" autofocus autofocus="autofocus" required required="required" name="ttitle" maxlength="255"
  />
*</td></tr><tr><td class="right">
Subtitle:</td><td class="left"> <input type="text" required required="required" name="tsub" maxlength="255"
  />
*</td></tr><tr><td class="right">
Username: </td><td class="left"><input type="text" required required="required" name="username" maxlength="255"
  />
*</td></tr><tr><td class="right">
Password: </td><td class="left"><input type="password" required required="required" name="pass" maxlength="255"
  />
*</td></tr>
<tr><td class="right">
Confirm Password: </td><td class="left"><input type="password" required required="required" name="pass2" maxlength="255"
  />
*</td></tr><tr><td class="right">Proposed Director
</td><td class="left"><input type="text" name="dir" maxlength="255"
  />
  *</td></tr><tr><td class="right">Proposed Additional
</td><td class="left"><input type="text" name="add" maxlength="255"
  /></td></tr><tr><td class="right" valign="top">
Text: </td><td class="left" valign="top"><textarea required required="required" name="text"></textarea>
*</td></tr><tr><td class="right">
Bobblehead: </td><td class="left">
<input type="file" required required="required" name="image[]" multiple="">
*</td></tr> </table>

现在一切正常,除了实际复制和写入文件到新目录,我坐在这里摆弄它,但我觉得我真的很近,有些人可能有钥匙,我只是不能从头顶看出来。任何帮助都会很棒,谢谢。

2 个答案:

答案 0 :(得分:3)

让我们看看有多少种方法可以列出您的代码非常可怕:

  1. 您正在使用原始POST在服务器上创建目录。您不会过滤此帖子字段以获取路径字符,因此实际上您要让远程用户在您的服务器上创建一个随时随地选择的目录
  2. 您正在分析文件扩展名以确定文件类型。暂时忽略$ _FILES数组中的name参数是为用户提供的文件的名称,您使用子字符串操作来获取文件的扩展名,忽略pathinfo()函数为你这样做。回到文件名,没有什么可以阻止恶意用户将“nastyvirus.exe”重命名为“kittens.jpg”并将其上传到您的服务器。
  3. 你没有以任何方式/形状/形式检查上传成功 - 你只是假设一切都运作良好,并开始匆匆离去处理上传的文件。只有一种方法可以让上传成功,并且有几万种方法可以让它失败......也许你应该进行一些错误检查 - 这就是为什么_FILES数组中的error参数存在的原因。
  4. 我会给你这么多:你没有使用原始文件名存储文件,但你盲目地生成一个新的文件名,然后不检查你是否会覆盖以前上传的文件。两个不同的用户完全有可能选择相同的标题并同时上传两个不同的文件 - 然后您的脚本将用另一个文件覆盖其中一个文件。

  5. 您正在使用copy()在上传后移动文件。这是一个坏主意。为此目的有move_uploaded_file()。除了明显的MOVE操作外,它还有一些额外的安全检查,以确保文件在上传完成和处理文件的脚本之间的时间内没有被篡改。复制将逐字复制文件,导致(在短时间内)服务器上的数据加倍,这是浪费空间。在大文件上,复制操作需要相当长的时间。相比之下,文件系统内的移动几乎是即时的。

  6. 您说您允许多个文件上传,但您的脚本只会检查第一个[0]。如果您想处理多个文件,则需要在循环中执行此代码,例如foreach(array_keys($_FILES['image']['name']) as $i) { ... },然后使用[$i]代替[0]

  7. 除此之外,你的HTML中有requiredrequired="required",这只是浪费空间。使用其中一个,但不能两个都使用。
  8. 你有$new_dir && $new_file&&不是PHP中的连接运算符,它是一个布尔AND运算符。你没有给$destination分配一个字符串,你要存储那个布尔值的结果,例如是真还是假。

答案 1 :(得分:1)

您必须为每个上传的文件进行迭代和copy / move_uploaded_file,这就是您访问文件$_FILES['image']['tmp_name'][0]的方式。 move_uploaded_file最适合此。

相关问题
最新问题