蹊跷 - 优文库

对不起，我是新来的，你问后，我加入了完整的代码报价：我知道我的代码是坏:)蹊跷

if ((($_FILES["image_name"]["type"] == "image/gif") 
    ($_FILES["image_name"]["type"] == "image/jpeg") 
    ($_FILES["image_name"]["type"] == "image/png") 
    ($_FILES["image_name"]["type"] == "image/pjpeg"))) 
    { 
    $year = date('y'); 
    $month = date('m'); 
    $date = date('d'); 
    if(file_exists('./uploads/'.$year)){ 
     if(file_exists('./uploads/'.$year.'/'.$month)){ 
      if(file_exists('./uploads/'.$year.'/'.$month.'/'.$date)){ 
       $target_path='./uploads/'.$year.'/'.$month.'/'.$date.'/'.$_FILES["image_name"][‌"name"]; 
      } 
      else{ 
       mkdir('./uploads/'.$year.'/'.$month.'/'.$date); 
      } 
     } 
     else{ 
      mkdir('./uploads/'.$year.'/'.$month); 
     }  
} 
else{ 
    mkdir('./uploads/'.$year); 
    mkdir('./uploads/'.$year.'/'.$month); 
    mkdir('./uploads/'.$year.'/'.$month.'/'.$date); 
} 
    if ($_FILES['image_name']['error'] > 0) 
    { 
    echo 'Return Code: ' . $_FILES['image_name']['error'] . '<br />'; 
    } 
    else 
     { 
     move_uploaded_file($_FILES['image_name']['tmp_name'], 
     './uploads/'.$year.'/'.$month.'/'.$date.'/'.$_FILES['image_name']['name']); 
     $target_path='./uploads/'.$year.'/'.$month.'/'.$date.'/'.$_FILES["image_name"][‌"name"]; 
     } 
    }

的$ target_path变量应打印像这样：

上传/ 13/03/15/image_name.jpg

但它打印：

S/13/03/15/image_name.jpg

有什么不对？

来源

2013-03-15 User

请使用换行符来提高可读性。 – deceze 2013-03-15 13:23:35

出于好奇你有没有试过'$ target_path ='。/ uploads /'.$ year。'/'。$ month。'/'。$ date。'/'。$ _ FILES [“image_name”] [“name” ];'？ – 2013-03-15 13:24:09

对不起，我这里是新的 – User 2013-03-15 13:24:23

首先，关于文件上传的一般注意事项：type和name密钥是不安全的。这是因为它们是由客户定义的，它们是将恶意代码注入到您的网站的潜在机制。考虑如果我将文件名设置为../../../../../index.php，或者如果我将MIME类型设置为image/gif，但是上传了PHP文件，会发生什么情况？

接下来，具体说明图片上传的重要提示：您不能相信客户端上传的图片数据。也可以将恶意代码嵌入看起来像图像一样的东西。您需要将像素数据从文件中复制出来并创建一个新的。这通常用GD扩展来完成。

接下来，在mkdir() - 它有第三个参数，如果您将true传递给第三个参数，它会递归地创建目录树，因此您不需要在单独的操作中创建每个级别。另外请注意（很多事情）mkdir()可能会失败，如果发生这种情况，它将返回false，你应该检查这个。

现在，为了回答这个问题，实际（和暂时忽略上述安全问题），这里是我将如何简化代码：

// Configuration 
$allowedTypes = array(
    "image/gif", "image/jpeg", "image/png", "image/pjpeg" 
); 
$baseDir = './uploads'; 

// Check file was uploaded successfully 
if ($_FILES['image_name']['error'] > 0) { 
    exit('Return Code: ' . $_FILES['image_name']['error'] . '<br />'); 
} 

// Check file type 
if (!in_array($_FILES["image_name"]["type"], $allowedTypes)) { 
    exit('Invalid file type: ' . $_FILES['image_name']['type'] . '<br />'); 
} 

// Check/create target directory 
list($year, $month, $day) = explode('-', date('y-m-d')); 
$targetDir = $baseDir . '/' . $year . '/' . $month . '/' . $day; 
if (!is_dir($targetDir)) { 
    if (!mkdir($targetDir, 0644, true)) { 
     exit('Failed to create destination directory<br />'); 
    } 
} 

// Store the uploaded file permanently 
$targetPath = $targetDir . '/' . .$_FILES['image_name']['name']; 
if (!move_uploaded_file($_FILES['image_name']['tmp_name'], $targetPath)) { 
    exit('Failed to move temporary file<br />'); 
}

不过，我不会这么做。

文件上传是一个非常普遍的任务，我使用的通用代码看起来像this。看起来很复杂不是吗？那是因为处理文件上传并不简单。然而，这种复杂性提供了一个很好的直接方式来解决上面列出的安全问题。它内置了对图像的支持，包括用干净简单的方式调整大小的选项。

让我们来看看我们如何可以在你的代码中使用它：

$baseDir = './uploads'; 

// Very simple autoloader for demo purposes 
spl_autoload_register(function($class) { 
    require strtolower(basename($class)).'.php'; 
}); 

// When you instantiate this the $_FILES superglobal is destroyed 
// You must access all uploaded files via this API from this point onwards 
$uploadManager = new \Upload\Manager; 

// Fetches a FileCollection associated with the named form control 
$control = $uploadManager->getControl('image_name'); 

// getControl returns NULL if there are no files associated with that name 
if (!isset($control)) { 
    exit('No file was uploaded in the image_name control'); 
} 

// Check/create target directory 
// You still need to do this, it's not magic ;-) 
list($year, $month, $day) = explode('-', date('y-m-d')); 
$targetDir = $baseDir . '/' . $year . '/' . $month . '/' . $day; 
if (!is_dir($targetDir)) { 
    if (!mkdir($targetDir, 0644, true)) { 
     exit('Failed to create destination directory'); 
    } 
} 

// This also handles multiple uploads in a single control, so we need to loop 
foreach ($control as $image) { 
    // You need to determine a file name to use, most likely not from user 
    // input. This is a high-entropy low collision-risk random approach. 
    $targetFile = $targetDir . '/' . uniquid('upload-', true); 

    try { 
     $image->save($targetFile, true, IMAGETYPE_ORIGINAL); 
    } catch (\Exception $e) { 
     exit("Oh noes! Something went badly wrong: ".$e->getMessage()); 
    } 
}

这做了很多事情的背景来解决安全问题我在前面列出。它会自动检测到图像是有效的，识别的类型，并将正确的文件扩展名应用于保存的文件。

来源

2013-03-15 14:11:28 DaveRandom

一个快速的答案，潜在的代码问题：

else{ 
    mkdir('./uploads/'.$year.'/'.$month); 
}

这需要第二次的mkdir：

else{ 
    mkdir('./uploads/'.$year.'/'.$month); 
    mkdir('./uploads/'.$year.'/'.$month.'/'.$date); 
}

之后，但是 - 你结束与设置$target_path

的代码示例我们需要看看在设置$target_path之后会发生什么，以便我们看到变量和输出之间会发生什么变化。

在调试过程中，我建议在设置它之后立即快速将其值输出到日志文件中，看看它是否正确，但稍后再进行更改。

来源

2013-03-15 13:38:42

没有任何变化，之后我直接将其添加到数据库 – User 2013-03-15 13:41:17

啊，有用的信息。但是，我们仍然无法看到该代码，因此我们无法对其进行评论。但是，快速思考 - 数据库列的字符限制是什么？ – 2013-03-15 13:45:01

字符限制为200 – User 2013-03-15 13:46:32

蹊跷

回答

相关问题