PHP: Загрузка файлов методом POST

Загрузка файлов методом POST

Через этот механизм загружают как текстовые, так и бинарные файлы. Через PHP-функции аутентификации и работы с файлами программист получает полный контроль над доступом к загрузке файлов на сервер и обработкой файла после загрузки.

PHP умеет принимать загруженные файлы из браузеров, которые совместимы со стандартом RFC-1867.

Замечание: Смежные замечания по конфигурации

Ознакомьтесь также с описанием директив конфигурационного файла php.ini: file_uploads, upload_max_filesize, upload_tmp_dir, post_max_size и max_input_time.

PHP также поддерживает загрузку файлов методом PUT, через который загружают файлы на сервер клиенты Netscape Composer и Amaya консорциума W3C. Подробнее об этом методе рассказывает раздел «Поддержка метода PUT».

Пример #1 Форма для загрузки файлов

Страница загрузки файлов на сервер реализуется через форму, которая выглядит примерно так:

<!-- Тип кодирования данных, enctype, требуется указывать только так, как показывает пример -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
    <!-- Поле MAX_FILE_SIZE требуется указывать перед полем загрузки файла -->
    <input type="hidden" name="MAX_FILE_SIZE" value="30000" />
    <!-- Название элемента input определяет название элемента в суперглобальном массиве $_FILES -->
    Отправить файл: <input name="userfile" type="file" />
    <input type="submit" value="Отправить файл" />
</form>

В приведённом примере значение __URL__ нужно заменить ссылкой на PHP-файл.

Скрытое поле MAX_FILE_SIZE (значение требуется указывать в байтах) должно идти перед полем выбора файла. Значение поля указывает максимальный размер файла, который принимает PHP. Рекомендуется добавлять этот элемент в форму, поскольку он не заставляет пользователя ждать окончания передачи большого файла, а только потом узнавать, что файл оказался слишком большим и передача не состоялась. Имейте в виду: обойти это ограничение на стороне браузера легко, поэтому не рассчитывайте, что эта функция заблокирует файлы большего размера. Это только удобная функция для пользователей клиентской части приложения. Однако серверные PHP-настройки, которые касаются максимального размера, обойти невозможно.

Замечание:
Проверьте, что форма загрузки содержит атрибут enctype="multipart/form-data", иначе загрузка файлов на сервер не будет работать.

Суперглобальный массив $_FILES содержит полную информацию о файлах, которые загрузили на сервер. Содержимое массива после отправки приведённой формы выводит пример на этой странице. Обратите внимание, здесь элемент с выбором файла называется userfile, как в приведённом примере. Полю выбора файла разрешается присваивать произвольное имя.

$_FILES['userfile']['name']: Исходное название файла на компьютере клиента.
$_FILES['userfile']['type']: MIME-тип файла, если браузер отправил такую информацию. Пример MIME-типа: «image/gif». MIME-тип не проверяется на стороне PHP, поэтому значение не принимают без проверки.
$_FILES['userfile']['size']: Размер принятого файла в байтах.
$_FILES['userfile']['tmp_name']: Временное имя файла, под которым PHP хранил файл, который загрузили на сервер.
$_FILES['userfile']['error']: Код ошибки, которая возникает при загрузке файла.
$_FILES['userfile']['full_path']: Полный путь, который отправил браузер. Это значение не всегда содержит реальную структуру каталогов и ему нельзя доверять. Поле доступно с PHP 8.1.0.

По умолчанию PHP сохраняет принятые файлы на сервере в стандартной вре́менной папке до тех пор, пока через директиву upload_tmp_dir конфигурационного файла php.ini не зададут другой каталог. На сервере директорию по умолчанию можно изменить через переменную TMPDIR того окружения, в котором работает PHP. Установка переменной функцией putenv() внутри PHP-скрипта работать не будет. Через эту переменную окружения также проверяют, что другие операции тоже работают с принятыми файлами.

Пример #2 Проверка файлов, которые загрузили на сервер

Дополнительную информацию дают описания функций is_uploaded_file() и move_uploaded_file(). Следующий пример принимает и обрабатывает файл, который загрузили на сервер через форму.

<?php

$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);

echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
    echo "Файл не содержит ошибок и успешно загрузился на сервер.\n";
} else {
    echo "Возможная атака на сервер через загрузку файла!\n";
}

echo 'Дополнительная отладочная информация:';
print_r($_FILES);

print "</pre>";

?>

PHP-скрипт, который принимает файл, должен реализовывать логику определения того, что требуется сделать с файлом, который загрузили на сервер. Можно, например, проверить переменную $_FILES['userfile']['size'], чтобы отсечь чрезмерно большие или слишком мелкие файлы. Можно также использовать переменную $_FILES['userfile']['type'], чтобы выбросить файлы, которые не соответствуют заданным критериям типа файла. Но выполняйте такую проверку только как первую в серии проверок, потому что это значение контролируется клиентом и не проверяется на стороне PHP. Кроме того, можно использовать переменную $_FILES['userfile']['error'] и планировать логику поведения кода с учётом кодов ошибок. При любой логике требуется либо удалить файл из временного каталога, либо переместить файл в другую директорию.

Если при отправке формы файл не выбрали, PHP установит для переменной $_FILES['userfile']['size'] значение 0, а переменной $_FILES['userfile']['tmp_name'] — none.

PHP удалит файл из временного каталога в конце запроса, если файл не переместили или не переименовали.

Пример #3 Загрузка массива файлов

PHP поддерживает передачу массива из HTML-формы даже с файлами.

<form action="" method="post" enctype="multipart/form-data">
    <p>Изображения:
        <input type="file" name="pictures[]" />
        <input type="file" name="pictures[]" />
        <input type="file" name="pictures[]" />
        <input type="submit" value="Отправить" />
    </p>
</form>

<?php

foreach ($_FILES["pictures"]["error"] as $key => $error) {
    if ($error == UPLOAD_ERR_OK) {
        $tmp_name = $_FILES["pictures"]["tmp_name"][$key];

        // Функция basename() помогает защититься от атак на файловую систему;
        // иногда требуется дополнительная проверка или очистка имени файла
        $name = basename($_FILES["pictures"]["name"][$key]);
        move_uploaded_file($tmp_name, "data/$name");
    }
}

?>

Полосу прогресса загрузки файлов можно реализовать через «Отслеживание прогресса загрузки файлов через сессии».

Нашли ошибку?

Инструкция • Исправление • Сообщение об ошибке

＋Добавить

Примечания пользователей 9 notes

down

daevid at daevid dot com ¶

16 years ago

I think the way an array of attachments works is kind of cumbersome. Usually the PHP guys are right on the money, but this is just counter-intuitive. It should have been more like:

Array
(
    [0] => Array
        (
            [name] => facepalm.jpg
            [type] => image/jpeg
            [tmp_name] => /tmp/phpn3FmFr
            [error] => 0
            [size] => 15476
        )

    [1] => Array
        (
            [name] => 
            [type] => 
            [tmp_name] => 
            [error] => 4
            [size] => 
        )
)

and not this
Array
(
    [name] => Array
        (
            [0] => facepalm.jpg
            [1] => 
        )

    [type] => Array
        (
            [0] => image/jpeg
            [1] => 
        )

    [tmp_name] => Array
        (
            [0] => /tmp/phpn3FmFr
            [1] => 
        )

    [error] => Array
        (
            [0] => 0
            [1] => 4
        )

    [size] => Array
        (
            [0] => 15476
            [1] => 0
        )
)

Anyways, here is a fuller example than the sparce one in the documentation above:

<?php
foreach ($_FILES["attachment"]["error"] as $key => $error)
{
       $tmp_name = $_FILES["attachment"]["tmp_name"][$key];
       if (!$tmp_name) continue;

       $name = basename($_FILES["attachment"]["name"][$key]);

    if ($error == UPLOAD_ERR_OK)
    {
        if ( move_uploaded_file($tmp_name, "/tmp/".$name) )
            $uploaded_array[] .= "Uploaded file '".$name."'.<br/>\n";
        else
            $errormsg .= "Could not move uploaded file '".$tmp_name."' to '".$name."'<br/>\n";
    }
    else $errormsg .= "Upload error. [".$error."] on file '".$name."'<br/>\n";
}
?>

down

mpyw ¶

9 years ago

Do not use Coreywelch or Daevid's way, because their methods can handle only within two-dimensional structure. $_FILES can consist of any hierarchy, such as 3d or 4d structure.

The following example form breaks their codes:

<form action="" method="post" enctype="multipart/form-data">
    <input type="file" name="files[x][y][z]">
    <input type="submit">
</form>

As the solution, you should use PSR-7 based zendframework/zend-diactoros.

GitHub:

https://github.com/zendframework/zend-diactoros

Example:

<?php

use Psr\Http\Message\UploadedFileInterface;
use Zend\Diactoros\ServerRequestFactory;

$request = ServerRequestFactory::fromGlobals();

if ($request->getMethod() !== 'POST') {
    http_response_code(405);
    exit('Use POST method.');
}

$uploaded_files = $request->getUploadedFiles();

if (
    !isset($uploaded_files['files']['x']['y']['z']) ||
    !$uploaded_files['files']['x']['y']['z'] instanceof UploadedFileInterface
) {
    http_response_code(400);
    exit('Invalid request body.');
}

$file = $uploaded_files['files']['x']['y']['z'];

if ($file->getError() !== UPLOAD_ERR_OK) {
    http_response_code(400);
    exit('File uploading failed.');
}

$file->moveTo('/path/to/new/file');

?>

down

coreywelch+phpnet at gmail dot com ¶

9 years ago

down

fravadona at gmail dot com ¶

5 years ago

mpyw is right, PSR-7 is awesome but a little overkill for simple projects (in my opinion).

Here's an example of function that returns the file upload metadata in a (PSR-7 *like*) normalized tree. This function deals with whatever dimension of upload metadata.

I kept the code extremely simple, it doesn't validate anything in $_FILES, etc... AND MOST IMPORTANTLY, it calls array_walk_recursive in an *undefined behaviour* way!!!

You can test it against the examples of the PSR-7 spec ( https://www.php-fig.org/psr/psr-7/#16-uploaded-files ) and try to add your own checks that will detect the error in the last example ^^

<?php
/**
 *  THIS CODE IS ABSOLUTELY NOT MEANT FOR PRODUCTION !!! MAY ITS INSIGHTS HELP YOU !!!
 */
function getNormalizedFiles()
{
  $normalized = array();

  if ( isset($_FILES) ) { 
    
    foreach ( $_FILES as $field => $metadata ) {
      
      $normalized[$field] = array(); // needs initialization for array_replace_recursive
      
      foreach ( $metadata as $meta => $data ) { // $meta is 'tmp_name', 'error', etc...
        
        if ( is_array($data) ) {
          
          // insert the current meta just before each leaf !!! WRONG USE OF ARRAY_WALK_RECURSIVE !!!
          array_walk_recursive($data, function (&$v,$k) use ($meta) { $v = array( $meta => $v ); });
          
          // fuse the current metadata with the previous ones
          $normalized[$field] = array_replace_recursive($normalized[$field], $data);
        
        } else {
          $normalized[$field][$meta] = $data;
        }
      } 
    }
  } 
  return $normalized;
}
?>

down

anon ¶

10 years ago

For clarity; the reason you would NOT want to replace the example script with
$uploaddir = './';
is because if you have no coded file constraints a nerd could upload a php script with the same name of one of your scripts in the scripts directory.

Given the right settings and permissions php-cgi is capable of replacing even php files.

Imagine if it replaced the upload post processor file itself. The next "upload" could lead to some easy exploits.

Even when replacements are not possible; uploading an .htaccess file could cause some problems, especially if it is sent after the nerd throws in a devious script to use htaccess to redirect to his upload.

There are probably more ways of exploiting it. Don't let the nerds get you.

More sensible to use a fresh directory for uploads with some form of unique naming algorithm; maybe even a cron job for sanitizing the directory so older files do not linger for too long.

down

eslindsey at gmail dot com ¶

16 years ago

Also note that since MAX_FILE_SIZE hidden field is supplied by the browser doing the submitting, it is easily overridden from the clients' side.  You should always perform your own examination and error checking of the file after it reaches you, instead of relying on information submitted by the client.  This includes checks for file size (always check the length of the actual data versus the reported file size) as well as file type (the MIME type submitted by the browser can be inaccurate at best, and intentionally set to an incorrect value at worst).

down

Mark ¶

15 years ago

$_FILES will be empty if a user attempts to upload a file greater than post_max_size in your php.ini

post_max_size should be >= upload_max_filesize in your php.ini.

down

claude dot pache at gmail dot com ¶

16 years ago

Note that the MAX_FILE_SIZE hidden field is only used by the PHP script which receives the request, as an instruction to reject files larger than the given bound. This field has no significance for the browser, it does not provide a client-side check of the file-size, and it has nothing to do with web standards or browser features.

down

rrueda at silegonline dot com ¶

8 months ago

It's not necessary to write multiple input fields in the form to upload multiple files, this way, with only one input also works:

<input type="file" name="nomfile[]" multiple>

＋Добавить