POST 方法上傳
本特性可以使用戶上傳文本和二進制文件�����。用 PHP
的認證和文件操作函數(shù)�����,可以完全控制允許哪些人上傳以及文件上傳后怎樣處理����。
PHP 能夠接受任何來自符合 RFC-1867 標準的瀏覽器上傳的文件。
注意:
相關的設置
請參閱 php.ini 的 file_uploads����,upload_max_filesize,upload_tmp_dir��,post_max_size
以及 max_input_time 設置選項�。
請注意 PHP 也支持 PUT 方法的文件上傳,Netscape Composer
和 W3C 的 Amaya 客戶端使用這種方法�。請參閱對 PUT 方法的支持以獲取更多信息。
示例 #1 文件上傳表單
<!-- The data encoding type, enctype, MUST be specified as below -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
<!-- MAX_FILE_SIZE must precede the file input field -->
<input type="hidden" name="MAX_FILE_SIZE" value="30000" />
<!-- Name of input element determines name in $_FILES array -->
Send this file: <input name="userfile" type="file" />
<input type="submit" value="Send File" />
</form>
以上范例中的 __URL__ 應該被換掉��,指向一個真實的 PHP 文件�����。
MAX_FILE_SIZE
隱藏字段(單位為字節(jié))必須放在文件輸入字段之前����,其值為接收文件的最大尺寸。這是對瀏覽器的一個建議�����,PHP
也會檢查此項。在瀏覽器端可以簡單繞過此設置�����,因此不要指望用此特性來阻擋大文件����。實際上��,PHP
設置中的上傳文件最大值是不會失效的�。但是最好還是在表單中加上此項目,因為它可以避免用戶在花時間等待上傳大文件之后才發(fā)現(xiàn)文件過大上傳失敗的麻煩����。
注意:
要確保文件上傳表單的屬性是
enctype="multipart/form-data",否則文件上傳不了���。
全局變量 $_FILES 包含有所有上傳的文件信息����。
數(shù)組的內(nèi)容來自以下范例表單�����。我們假設文件上傳字段的名稱如下例所示,為
userfile���。名稱可隨意命名�����。
-
$_FILES['userfile']['name']
-
客戶端機器文件的原名稱���。
-
$_FILES['userfile']['type']
-
文件的 MIME 類型,如果瀏覽器提供此信息的話��。一個例子是“image/gif”����。不過此
MIME 類型在 PHP 端并不檢查,因此不要想當然認為有這個值����。
-
$_FILES['userfile']['size']
-
已上傳文件的大小,單位為字節(jié)��。
-
$_FILES['userfile']['tmp_name']
-
文件被上傳后在服務端儲存的臨時文件名�。
-
$_FILES['userfile']['error']
-
和該文件上傳相關的錯誤代碼。
文件被上傳后��,默認地會被儲存到服務端的默認臨時目錄中,除非
php.ini 中的 upload_tmp_dir
設置為其它的路徑��。服務端的默認臨時目錄可以通過更改 PHP
運行環(huán)境的環(huán)境變量 TMPDIR 來重新設置�����,但是在
PHP 腳本內(nèi)部通過運行 putenv()
函數(shù)來設置是不起作用的����。該環(huán)境變量也可以用來確認其它的操作也是在上傳的文件上進行的��。
示例 #2 驗證上傳的文件
請查閱函數(shù) is_uploaded_file() 和
move_uploaded_file() 以獲取進一步的信息����。
以下范例處理由表單提供的文件上傳。
<?php
$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "Possible file upload attack!\n";
}
echo 'Here is some more debugging info:';
print_r($_FILES);
print "</pre>";
?>
接受上傳文件的 PHP
腳本為了決定接下來要對該文件進行哪些操作�����,應該實現(xiàn)任何邏輯上必要的檢查�。例如可以用
$_FILES['userfile']['size']
變量來排除過大或過小的文件,也可以通過
$_FILES['userfile']['type']
變量來排除文件類型和某種標準不相符合的文件����,但只把這個當作一系列檢查中的第一步����,因為此值完全由客戶端控制而在
PHP 端并不檢查��。同時�����,還可以通過
$_FILES['userfile']['error'] 變量來根據(jù)不同的錯誤代碼來計劃下一步如何處理��。不管怎樣����,要么將該文件從臨時目錄中刪除,要么將其移動到其它的地方����。
如果表單中沒有選擇上傳的文件,則 PHP 變量
$_FILES['userfile']['size'] 的值將為
0����,$_FILES['userfile']['tmp_name'] 將為空。
如果該文件沒有被移動到其它地方也沒有被改名����,則該文件將在表單請求結束時被刪除�����。
示例 #3 上傳一組文件
PHP 的 HTML 數(shù)組特性甚至支持文件類型�。
<form action="" method="post" enctype="multipart/form-data">
<p>Pictures:
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="submit" value="Send" />
</p>
</form>
<?php
foreach ($_FILES["pictures"]["error"] as $key => $error) {
if ($error == UPLOAD_ERR_OK) {
$tmp_name = $_FILES["pictures"]["tmp_name"][$key];
// basename() may prevent filesystem traversal attacks;
// further validation/sanitation of the filename may be appropriate
$name = basename($_FILES["pictures"]["name"][$key]);
move_uploaded_file($tmp_name, "data/$name");
}
}
?>
File upload progress bar can be implemented using Session Upload Progress.