$_FILES name和tmp_name有什么区别

最新推荐文章于 2021-03-23 13:23:00 发布
最新推荐文章于 2021-03-23 13:23:00 发布
阅读量1w 收藏 3
点赞数 5
分类专栏: PHP

$_FILES[字段名][name]——保存的文件在上传者机器上的文件名,

$_FILES[字段名][tmp_name]——保存的是文件上传到服务器临时文件夹之后的文件名



    一般我们应该从$_FILES[字段名][name]获取文件名、扩展名等信息,和程序规定的文件夹一起组装成为目标文件名,然后把临时文件$_FILES[字段名][tmp_name]移动过去。
使用临时文件之tmpnam
m0_37895230的博客
12-10 696
软件开发过程中,生成临时文件是很常见的用法。临时文件特性是短暂存在,但又受程序控制,要确保每个文件都被指定独一无二的文件名。 cstdio库函数中声明的tmpnam()标准函数可实现该功能。 char*tmpnam(char*pszname); tmpname()函数创建了一个临时文件名,并将它放到pszname指向的C风格字符串中,常量L_tmpnam限制了文件名包含的字符数,常量TMP_MAX限制了确保当前目录中不生成重复文件夹的情况下,tmpnam()可被调用的最多次数,两者均可自定义。 #incl
php 上传文件tmp name,PHP上传文件tmp_name为空定位为上传大小导致的问题
weixin_39692623的博客
03-19 1047
I have this problem on my file upload. I try to upload my PDF file while checking on validation the TMP_NAME is empty and when I check on $_FILES['document_attach']['error'] the value is 1 so meaning ...
PHP中用$_FILES上传服务器文件
u012648276的专栏
07-16 768
本文章来简单的介绍一下在php中文件图片上传时的一个$_FILES重要的全局变量 的种个参数,有需要了解的朋友可以参考一下下哈。   文件上传表单的处理    代码如下 复制代码   我们来看看files的变量的用法 $_FILES超级全局变量很特殊,他是预定义超级全局数组中唯一的二维数组。其作用是存储各种与上传文件有关的信息,这
thinkphp Upload上传文件在客户端生成的临时文件$_FILES['file']['tmp_name']
weixin_30646315的博客
05-05 1108
1.关于thinkphp 的Upload的$_FILES['file']['tmp_name']   在使用thinkphp上传图片的时候,在上传的$_FILES数组中,有一个$_FILES['file']['tmp_name']变量,那么这个变量是什么呢?他是上传图片时在客户端生成的临时文件,例如:$_FILES['file']['tmp_name'] = 'C:\window\7ED.tmp...
自动生成文件名的tmpname()函数介绍
哆啦A瑶的博客
03-16 2338
函数原型:char *tmpnam(char *pszname);    tmpname()函数一个临时文件名,将它放在pszname指向的C风格字符串中,常量L_tmpnam TMP_MAX限制了文件名包含的字符数,以及在确保当前目录中不生成重复文件名的情况下,tmpname()可以被调用的最多次数。    函数用例如下:#include <iostream> using name...
php设置 公共变量_PHP: 配置 - Manual
weixin_39701768的博客
03-08 488
listenstring设置接受 FastCGI 请求的地址。可用格式为:'ip:port','port','/path/to/unix/socket'。每个进程池都需要设置。listen.backlogint设置 listen(2) 的 backlog 最大值。“-1”表示无限制。默认值:-1。listen.allowed_clientsstring设置允许连接到 FastCGI 的服务器 IP...
php 图片上传($_FILES)
01-08
4. `$_FILES['file']`['tmp_name'] - 文件上传后在服务器上的临时文件名。 5. `$_FILES['file']`['error'] - 文件上传时的错误代码。 在实际应用中,我们首先需要确保文件上传表单的`enctype`属性设置为`multipart/...
PHP $_FILES中error返回值详解
10-26
用PHP上传文件时,我们会用程序去监听浏览器发送过来的文件信息,首先会通 过$_FILES...$_FILES[fieldName] ['error']==0代表一切正常,其它数值的具体含义请参考下面一段程序的注释部分,如有翻译不到之处还望指正
PHP中$_FILES的使用方法及注意事项说明
10-26
4. $_FILES['myFile']['tmp_name']:文件被上传至服务器后在临时目录中存储的文件名。PHP默认将其放在系统指定的临时目录中。如果需要将文件保存到其他位置,必须在脚本结束前移动或复制这个临时文件,否则它将在...
浅谈$_FILES数组为空的原因
08-31
解决`$_FILES`数组为空的问题通常涉及检查调整上述设置,并确保上传功能在客户端服务器端都得到正确的实现。同时,编写健壮的错误处理代码可以帮助诊断修复潜在问题。在开发过程中,使用`var_dump()`或`print_...
PHP $_FILES函数详解
12-19
if (move_uploaded_file($_FILES["myFile"]["tmp_name"], $target_file)) { echo "文件 ". htmlspecialchars( basename( $_FILES["myFile"]["name"])). " 已成功上传。"; } else { echo "抱歉,文件上传失败。"; }...
php 上传 tmp_name 空,PHP文件上载错误tmp_name为空
weixin_39954698的博客
03-19 456
我的文件上传时出现此问题.我尝试上传我的PDF文件,同时检查验证TMP_NAME是否为空,当我检查$_FILES [‘document_attach’] [‘error’]时,值为1,这意味着有错误.但是当我尝试上传其他PDF文件时,它已成功上传.为什么其他PDF文件没有?TitleFilePHPif(isset($_POST['submit'])){$title = $_POST['title'...
tmp name php,linux环境 上传文件失败 tmp_name为空
weixin_39935388的博客
03-10 377
Linux 上传 权限 phpinfo显示的信息如下file_uploads Onupload_max_filesize 2Mupload_tmp_dir /Users/ririn/Sites/tmp然后 我对 这个目录设置了777权限 chmod 777 /Users/ririn/Sites/tmp 是不是还有什么需要设置的地方?但是上传文件 还是不行啊首先tmp目录中就没有任何文件当然...
php $_file['filename']['tmp'],PHP $_FILES['file']['tmp_name']:如何保存文件名擴展名?
weixin_39776817的博客
03-23 642
I am trying to upload a doc file from a form and send it to email. I am using我正在嘗試從一個表格上載一個doc文件並將它發送到電子郵件。我用$_FILES['file']['tmp_name'];The problem is, it is returning a randomly generated file name....
PHP 上传视频文件 $_File['file']['tmp_name']为空
longyanbuhui的博客
05-31 3346
自己在上传东西的时候,遇见$_FILE['file']['tmp_name'] 为空,可能原因是php.ini的最大上传素材的容量过小; 需要重新配置一下 php.ini 里的 upload_max_filesize = "你自己定义一个大小" 然后重启服务器 ...
上传文件,is_uploaded_file($_FILES['imgfile']['tmp_name']) 一直返回false
karen_wang的专栏
01-19 5748
今天遇到一个问题:             上传文件,is_uploaded_file($_FILES['imgfile']['tmp_name']) 一直返回false    网上找了一通,找到了问题的原因及解决方法:              路径转义斜杠问题,用stripslashes()去除转义就行了   说明:         这一类问题调试时,可以采用输出的方式,看看 t
php 上传文件失败$_FILES tmp_name 为空
丿灬安之若死
12-03 3481
PHP后台 做App客户端升级时 ,通过表单提交的文件 无法保存 经过试用echo 打印,确定 是  echo $_FILES['app_file']['tmp_name'] ;为空 上传图片的功能都没问题啊 再打印echo '<br/>file error='.$_FILES['app_file']['error'] ; file error=1 原因 1; 超过了文件大...
IE浏览器 兼容性(IE9-11 差异说明)
小白裸奔
08-30 9845
IE浏览器自从IE9开始后,做了很大的改动,更符合了W3C标准(World Wide Web Consortium),这也是为啥IE8比其他问题要更多的原因了。其中IE11已更完善,像IE11中就内置了IE7-IE10的浏览器模式(按F12打开开发者工具可见),方便开发进行更低版本的调试。如下整理IE9-IE11的变更点:   1、IE9   · IE9 的 User-agent
``` <?php if($_POST["submit"]=="上传"){ $f_path="./upload\\"; $f_name=$_FILES['upfiles']['name']; $c_name=strstr($f_name,"."); if($c_name!=".jpg"){ echo "文件格式不符合要求"; }else if($_FILES['upfiles']['tmp_name']){ move_uploaded_file($_FILES['upfiles']['tmp_name'],$f_path.$_FILES['upfiles']['name']); echo "图片上传成功!"; echo "<br>"; echo "您的个人形象是:"."<img src'".$f_path.$_FILES['upfiles']['name']."'>"; }else{ echo "上传图片失败!"; } } ?>```帮我看看这个代码有什么问题
最新发布
03-22
<think>好的,我现在需要帮用户分析这段PHP代码的问题。首先,我得仔细阅读代码,逐行检查可能的错误。用户提到的是文件上传的功能,所以重点应该放在安全漏洞、逻辑错误语法问题上。 首先看代码结构。用户使用if语句检查$_POST["submit"]是否等于"上传",这里可能存在第一个问题:表单中的submit按钮的name属性是否是"submit"?如果表单里的name不是"submit",那这个条件可能不会触发。不过这可能取决于前端代码,用户没提供,所以暂时先记下这个可能性。 接下来是处理上传文件的部分。$f_path被赋值为"./upload\\",这里用了反斜杠,可能在Linux系统下会有问题,因为目录分隔符应该是正斜杠。不过PHP在Windows环境下也能处理,但最好统一使用正斜杠,避免转义问题。所以路径应该改为"./upload/"。 然后,$c_name = strstr($f_name, "."); 这里strstr返回的是从第一个点开始到结尾的部分,比如文件名是image.jpg,那$c_name就是.jpg,这没问题。但检查$c_name != ".jpg"时,只允许.jpg后缀,但用户可能上传类似image.JPG或者image.jpeg的情况,这样会被拒绝。应该考虑大小写不同的扩展名,或者更严格地用pathinfo函数来获取扩展名。 接下来检查$_FILES['upfiles']['tmp_name']是否存在。这里应该使用!empty()或者isset(),因为即使上传失败,tmp_name可能仍然存在但为空字符串。所以条件可能不够严谨,应该改为if ($_FILES['upfiles']['error'] === UPLOAD_ERR_OK) 来确认文件上传成功。 然后移动上传文件的部分,move_uploaded_file的参数是目标路径,这里$f_path连接$_FILES['upfiles']['name'],直接使用用户提供的文件名可能有安全问题,比如文件名包含特殊字符或路径遍历,例如../../等。应该对文件名进行过滤,或者生成一个随机的文件名来保存,避免覆盖路径问题。 接下来是输出图片的地方,echo "<img src'".$f_path.$_FILES['upfiles']['name']."'>"; 这里明显有语法错误,src属性应该用=连接,并且值应该用引号括起来。正确的写法应该是src='".$f_path.$_FILES['upfiles']['name']."',所以这里缺少了=号,导致图片无法正确显示。 此外,代码中没有对上传文件的大小进行限制,可能导致服务器存储空间被占满。也没有对上传文件的类型进行严格检查,仅检查了扩展名,这可能有风险,因为攻击者可以伪造扩展名上传恶意文件。应该使用$_FILES['upfiles']['type']检查MIME类型,或者使用getimagesize()函数验证确实是图片文件。 还有,上传目录./upload的权限问题,如果目录不存在或不可写,会导致上传失败。代码中没有检查目录是否存在,也没有创建目录的逻辑,可能需要添加相关代码。 总结一下,主要问题有: 1. 路径分隔符使用反斜杠,可能导致问题。 2. 扩展名检查不够严谨,可能存在大小写问题。 3. 未正确处理上传错误,依赖tmp_name存在可能不可靠。 4. 文件名直接使用用户输入,存在安全风险。 5. 图片输出时src属性缺少=号,导致HTML错误。 6. 缺少文件类型内容的验证,仅检查扩展名不安全。 7. 上传目录可能存在权限或不存在的问题。 8. 没有限制文件大小。 需要逐一针对这些问题给出修改建议,并告诉用户如何修复。同时提醒用户注意服务器配置安全性,比如防止执行上传目录中的PHP文件等。</think>这段PHP代码存在多个安全漏洞语法错误,我为您逐步分析并提供改进建议: 一、路径安全问题 1. 目录分隔符错误:`$f_path="./upload\\"` 应改为正斜杠 `$f_path = "./upload/";` 2. 建议添加目录存在性检查: ```php if (!file_exists($f_path)) { mkdir($f_path, 0755, true); } ``` 二、文件验证漏洞(关键问题) 1. 扩展名检查缺陷: ```php $c_name = strstr($f_name,"."); // 应改为使用pathinfo获取扩展名 $extension = strtolower(pathinfo($f_name, PATHINFO_EXTENSION)); if ($extension !== 'jpg') { // 同时建议允许jpeg扩展名 } ``` 2. 缺少MIME类型验证: ```php $finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['upfiles']['tmp_name']); finfo_close($finfo); if (!in_array($mime, ['image/jpeg', 'image/pjpeg'])) { die("Invalid file type"); } ``` 三、高危安全漏洞 1. 未过滤文件名(可能造成路径穿越): ```php // 应生成随机文件名 $new_name = bin2hex(random_bytes(16)) . '.jpg'; move_uploaded_file($_FILES['tmp_name'], $f_path . $new_name); ``` 四、语法错误 图片输出标签错误: ```php echo "<img src'".$f_path.$f_name."'>"; // 应改为(注意=号引号闭合): echo "<img src='".htmlspecialchars($f_path.$new_name)."'>"; ``` 五、改进建议 1. 增加上传错误处理: ```php if ($_FILES['upfiles']['error'] !== UPLOAD_ERR_OK) { // 处理具体错误代码 } ``` 2. 限制文件大小: ```php if ($_FILES['upfiles']['size'] > 2 * 1024 * 1024) { // 2MB die("文件大小超过限制"); } ``` 完整改进代码示例: ```php <?php if(isset($_POST["submit"]) && $_POST["submit"]=="上传"){ $f_path = "./upload/"; if (!file_exists($f_path)) { mkdir($f_path, 0755, true); } if ($_FILES['upfiles']['error'] !== UPLOAD_ERR_OK) { die("上传错误: ".$_FILES['upfiles']['error']); } $extension = strtolower(pathinfo($_FILES['upfiles']['name'], PATHINFO_EXTENSION)); if (!in_array($extension, ['jpg', 'jpeg'])) { die("仅允许JPG格式文件"); } $finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['upfiles']['tmp_name']); finfo_close($finfo); if (!in_array($mime, ['image/jpeg', 'image/pjpeg'])) { die("文件类型不符合要求"); } if ($_FILES['upfiles']['size'] > 2 * 1024 * 1024) { die("文件大小不能超过2MB"); } $new_name = bin2hex(random_bytes(16)) . '.jpg'; if (move_uploaded_file($_FILES['upfiles']['tmp_name'], $f_path . $new_name)) { echo "图片上传成功!<br>您的个人形象是:"; echo "<img src='".htmlspecialchars($f_path.$new_name)."' style='max-width: 500px;'>"; } else { echo "上传失败,请重试"; } } ?> ``` 附加安全建议: 1. 设置upload目录禁止执行PHP: 在upload目录中创建.htaccess文件(Apache): ``` php_flag engine off ``` 2. 定期清理上传目录 3. 建议添加CSRF保护 4. 对输出路径进行白名单验证 这些改进可以显著提升文件上传功能的安全性,防止任意文件上传漏洞、路径遍历攻击等常见安全问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值