POST 方法上傳
本特性可以使用戶上傳文本和二進(jìn)制文件。用 PHP
的認(rèn)證和文件操作函數(shù),可以完全控制允許哪些人上傳以及文件上傳后怎樣處理���。
PHP 能夠接受任何來自符合 RFC-1867 標(biāo)準(zhǔn)的瀏覽器上傳的文件。
注意:
相關(guān)的設(shè)置
請參閱 php.ini 的 file_uploads����,upload_max_filesize,upload_tmp_dir����,post_max_size
以及 max_input_time 設(shè)置選項。
請注意 PHP 也支持 PUT 方法的文件上傳��,Netscape Composer
和 W3C 的 Amaya 客戶端使用這種方法�����。請參閱對 PUT 方法的支持以獲取更多信息���。
示例 #1 文件上傳表單
<!-- The data encoding type, enctype, MUST be specified as below -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
<!-- MAX_FILE_SIZE must precede the file input field -->
<input type="hidden" name="MAX_FILE_SIZE" value="30000" />
<!-- Name of input element determines name in $_FILES array -->
Send this file: <input name="userfile" type="file" />
<input type="submit" value="Send File" />
</form>
以上范例中的 __URL__ 應(yīng)該被換掉,指向一個真實的 PHP 文件��。
MAX_FILE_SIZE
隱藏字段(單位為字節(jié))必須放在文件輸入字段之前���,其值為接收文件的最大尺寸��。這是對瀏覽器的一個建議�,PHP
也會檢查此項。在瀏覽器端可以簡單繞過此設(shè)置����,因此不要指望用此特性來阻擋大文件。實際上��,PHP
設(shè)置中的上傳文件最大值是不會失效的����。但是最好還是在表單中加上此項目,因為它可以避免用戶在花時間等待上傳大文件之后才發(fā)現(xiàn)文件過大上傳失敗的麻煩����。
注意:
要確保文件上傳表單的屬性是
enctype="multipart/form-data",否則文件上傳不了�。
全局變量 $_FILES 包含有所有上傳的文件信息。
數(shù)組的內(nèi)容來自以下范例表單����。我們假設(shè)文件上傳字段的名稱如下例所示,為
userfile���。名稱可隨意命名���。
-
$_FILES['userfile']['name']
-
客戶端機(jī)器文件的原名稱。
-
$_FILES['userfile']['type']
-
文件的 MIME 類型,如果瀏覽器提供此信息的話��。一個例子是“image/gif”����。不過此
MIME 類型在 PHP 端并不檢查,因此不要想當(dāng)然認(rèn)為有這個值�����。
-
$_FILES['userfile']['size']
-
已上傳文件的大小���,單位為字節(jié)���。
-
$_FILES['userfile']['tmp_name']
-
文件被上傳后在服務(wù)端儲存的臨時文件名。
-
$_FILES['userfile']['error']
-
和該文件上傳相關(guān)的錯誤代碼���。
文件被上傳后,默認(rèn)地會被儲存到服務(wù)端的默認(rèn)臨時目錄中�,除非
php.ini 中的 upload_tmp_dir
設(shè)置為其它的路徑。服務(wù)端的默認(rèn)臨時目錄可以通過更改 PHP
運行環(huán)境的環(huán)境變量 TMPDIR 來重新設(shè)置����,但是在
PHP 腳本內(nèi)部通過運行 putenv()
函數(shù)來設(shè)置是不起作用的。該環(huán)境變量也可以用來確認(rèn)其它的操作也是在上傳的文件上進(jìn)行的。
示例 #2 驗證上傳的文件
請查閱函數(shù) is_uploaded_file() 和
move_uploaded_file() 以獲取進(jìn)一步的信息����。
以下范例處理由表單提供的文件上傳。
<?php
$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "Possible file upload attack!\n";
}
echo 'Here is some more debugging info:';
print_r($_FILES);
print "</pre>";
?>
接受上傳文件的 PHP
腳本為了決定接下來要對該文件進(jìn)行哪些操作�,應(yīng)該實現(xiàn)任何邏輯上必要的檢查。例如可以用
$_FILES['userfile']['size']
變量來排除過大或過小的文件��,也可以通過
$_FILES['userfile']['type']
變量來排除文件類型和某種標(biāo)準(zhǔn)不相符合的文件��,但只把這個當(dāng)作一系列檢查中的第一步����,因為此值完全由客戶端控制而在
PHP 端并不檢查。同時�,還可以通過
$_FILES['userfile']['error'] 變量來根據(jù)不同的錯誤代碼來計劃下一步如何處理。不管怎樣����,要么將該文件從臨時目錄中刪除,要么將其移動到其它的地方���。
如果表單中沒有選擇上傳的文件�����,則 PHP 變量
$_FILES['userfile']['size'] 的值將為
0����,$_FILES['userfile']['tmp_name'] 將為空。
如果該文件沒有被移動到其它地方也沒有被改名����,則該文件將在表單請求結(jié)束時被刪除。
示例 #3 上傳一組文件
PHP 的 HTML 數(shù)組特性甚至支持文件類型���。
<form action="" method="post" enctype="multipart/form-data">
<p>Pictures:
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="submit" value="Send" />
</p>
</form>
<?php
foreach ($_FILES["pictures"]["error"] as $key => $error) {
if ($error == UPLOAD_ERR_OK) {
$tmp_name = $_FILES["pictures"]["tmp_name"][$key];
// basename() may prevent filesystem traversal attacks;
// further validation/sanitation of the filename may be appropriate
$name = basename($_FILES["pictures"]["name"][$key]);
move_uploaded_file($tmp_name, "data/$name");
}
}
?>
File upload progress bar can be implemented using Session Upload Progress.