Metodo POST per caricamento di file
Questa caratteristica permette di caricare sia file di testo
che binari. Utilizzando le funzioni di PHP per l'autenticazione e manipolazione dei file,
è possibile avere pieno controllo su chi ha i permessi per caricare un file e su
ciò che deve essere fatto una volta che il file è stato caricato.
Il PHP è in grado di ricevere upload di file da qualsiasi browser
compatibile con la RFC-1867.
Nota:
Note relative alla configurazione
Si vedano i parametri file_uploads,
upload_max_filesize,
upload_tmp_dir,
post_max_size e
max_input_time
nel php.ini
Si noti che PHP permette l'upload di file con metodo PUT come utilizzato dai
programmi Netscape Composer e
W3C Amaya. Si veda Supporto per metodo PUT
per maggiori dettagli.
Example #1 Form di caricamento file
La schermata di caricamento di un file può essere costruita con una form
particolare, di questo tipo:
<!-- Tipo di codifica dei dati, DEVE essere specificato come segue -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
<!-- MAX_FILE_SIZE deve precedere campo di input del nome file -->
<input type="hidden" name="MAX_FILE_SIZE" value="30000" />
<!-- Il nome dell'elemento di input determina il nome nell'array $_FILES -->
Send this file: <input name="userfile" type="file" />
<input type="submit" value="Send File" />
</form>
L'__URL__ dell'esempio precedente deve essere sostituito
con il puntamento ad un file PHP.
Il campo nascosto MAX_FILE_SIZE (misurato in byte) deve precedere
il campo di input del file, ed il suo valore indica la dimensione massima di file accettata.
Questa è un'informazione per il browser, ma anche il PHP lo verifica.
E' facile aggirare questa impostazione sul browser,
quindi non fate affidamento sul fatto che il navigatore si comporti come desiderato!
L'impostazione PHP lato server per la dimensione massima non può comunque essere aggirata.
Tuttavia si può comunque inserire
MAX_FILE_SIZE per evitare all'utente di attendere il trasferimento di un file
prima di scoprire che è di dimensioni eccessive.
Nota:
Accertarsi che il form di upload abbia l'impostazione enctype="multipart/form-data"
altrimentio non funzionerà.
La variabile globale $ _FILES conterrà tutte le informazioni sul file caricato.
Il suo contenuto dal form di esempio è il seguente. Notare che ciò presuppone l'uso del
nome del file caricato userfile, come usato nello script
di esempio di sopra. Esso può usare qualsiasi nome.
- $_FILES['userfile']['name']
-
Il nome originale del file sulla macchina dell'utente.
- $_FILES['userfile']['type']
-
Il mime-type del file, se il browser fornisce questa
informazione. Un esempio potrebbe essere
"image/gif". Questo mime type comunque
non è controllato sul lato PHP e quindi non ci si deve fidare
di questo valore.
- $_FILES['userfile']['size']
-
La dimensione, in bytes, del file caricato.
- $_FILES['userfile']['tmp_name']
-
Il nome del file temporaneo in cui il file caricato è salvato
sul server.
- $_FILES['userfile']['error']
-
Il codice di errore
associato all'upload di questo file.
I file sono, di default, salvati in una directory temporanea
sul server, a meno che un diverso percorso sia specificato nella direttiva upload_tmp_dir nel file
php.ini. La directory del server predefinita può essere
cambiata impostando la variabile di ambiente
TMPDIR in cui è in esecuzione PHP.
Non è possibile impostare questa variabile utilizzando
la funzione putenv() da uno script PHP.
Questa variabile di ambiente può anche essere usata per assicurarsi che
anche altre operazioni stiano lavorando sui file caricati.
Example #2 Verifica dell'upload di file
Si vedano le definizioni delle funzioni is_uploaded_file() e
move_uploaded_file() per maggiori dettagli.
L'esempio seguente illustra il processamento di un file inviato tramite un form.
<?php
$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "Possibile attacco tramite file upload!\n";
}
echo 'Alcune informazioni di debug:';
print_r($_FILES);
print "</pre>";
?>
Lo script PHP che riceve il file caricato dovrebbe implementare la
logica necessaria per determinare cosa deve essere fatto con il file
caricato. E' possibile, per esempio, utilizzare la variabile
$_FILES['userfile']['size']
per eliminare file che siano troppo grandi o troppo piccoli.
È possibile utilizzare la variabile
$_FILES['userfile']['type']
per eliminare tutti i file che non soddisfano certi criteri, ma
si utilizzi questo metodo solo come il primo di una serie di controlli, poiché il valore
è completamente sotto il controllo del client e non è controllato dal lato
PHP.
Inoltre, si può utilizzare $_FILES['userfile']['error']
ed organizzare la logica in base ai codici di errore.
Quale che sia la logica, bisognerebbe comunque sempre
cancellare il file dalla directory temporanea e spostarlo da qualche altra parte.
Se non si è selezionato alcun file per l'upload, il PHP restituirà
$_FILES['userfile']['size'] a 0, e
$_FILES['userfile']['tmp_name'] vuoto.
Il file sarà eliminato dalla directory temporanea al termine della richiesta
se non è stato mosso e rinominato.
Example #3 Upload di una serie di file
Il PHP supporta le matrici HTML
anche con i file.
<form action="" method="post" enctype="multipart/form-data">
<p>Pictures:
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="submit" value="Send" />
</p>
</form>
<?php
foreach ($_FILES["pictures"]["error"] as $key => $error) {
if ($error == UPLOAD_ERR_OK) {
$tmp_name = $_FILES["pictures"]["tmp_name"][$key];
// basename() può impedire attacchi di attraversamento del filesystem;
// un'ulteriore convalida/sanificazione del nome del file può essere appropriata
$name = basename($_FILES["pictures"]["name"][$key]);
move_uploaded_file($tmp_name, "data/$name");
}
}
?>
Un indicatore di progressione del caricamento può essere implementato usando Progressione di un caricamento in Sessione.
