程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> is_uploaded_file函數引發的不能上傳文件問題

is_uploaded_file函數引發的不能上傳文件問題

編輯:關於PHP編程

起因:

在一個項目中,接到用戶反饋說其所有客戶不能上傳文件,都返回失敗。經過排查發現是PHP中的is_uploaded_file函數在搗鬼。

細節分析:

在正常情況下,通過PHP 上傳文件 ,需要通過is_uploaded_file函數來判斷文件是否是通過 HTTP POST 上傳的,這可以用來確保惡意的用戶無法欺騙腳本去訪問本不能訪問的文件,例如 /etc/passwd。
而本次遇到的問題是本來應該是C:/WINDOWS/Temp/php99.tmp這樣的tmp_name,卻變成了C://WINDOWS //Temp//php99.tmp這種,導致is_uploaded_file函數返回錯誤的信息。

處理方式:

在加上如下代碼後,問題解決。
$file['tmp_name'] = str_replace('////', ‘//', $file['tmp_name']);
注意,“////”實際字符串就是兩個/,其他兩個是用來表示轉義的。

深入研究:

為什麼在默寫特定的環境下會出現這種情況呢,我們來看如下分析:
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = On
在PHP的默認配置中magic_quotes_gpc是On的,而打開了magic_quotes_gpc參數的PHP環境會自動對GET/POST /Cookie添加addslashes效果。注意,並不會為$_FILES添加addslashes效果。
而當magic_quotes_gpc是Off的時候,由於為$_FILES數組添加了addslashes作用,反而出現了問題。也就在 magic_quotes_gpc是Off的PHP環境下都會出現此問題。

順帶說句,SVN上的MooPHP代碼已經修復此問題。

is_uploaded_file函數解析:

判斷文件是否是通過 HTTP POST 上傳的
bool is_uploaded_file ( string $filename )
如果 filename 所給出的文件是通過 HTTP POST 上傳的則返回 TRUE。這可以用來確保惡意的用戶無法欺騙腳本去訪問本不能訪問的文件,例如 /etc/passwd。 這種檢查顯得格外重要,如果上傳的文件有可能會造成對用戶或本系統的其他用戶顯示其內容的話。

為了能使 is_uploaded_file() 函數正常工作,必段指定類似於 $_FILES['userfile']['tmp_name'] 的變量,而在從客戶端上傳的文件名 $_FILES['userfile']['name'] 不能正常運作。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved