有时在除了标准的表单数据外，你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同，你必须指定一个特别的编码方式multipart/form-data：

<form action="upload.php" method="POST" enctype="multipart/form-data">

一个同时有普通表单数据和文件的表单是一个特殊的格式，而指定编码方式可以使浏览器能按该可格式的要求去处理。

允许用户进行选择文件并上传的表单元素是很简单的：

<input type="file" name="attachment" />

该元素在各种浏览器中的外观表现形式各有不同。传统上，界面上包括一个标准的文本框及一个浏览按钮，以使用户能直接手工录入文件的路径或通过浏览选择。在Safari浏览器中只有浏览按钮。幸运的是，它们的作用与行为是相同的。

为了更好地演示文件上传机制，下面是一个允许用户上传附件的例子：

<form action="upload.php" method="POST" enctype="multipart/form-data">
  <p>Please choose a file to upload:
  <input type="hidden" name="MAX_FILE_SIZE" value="1024" />
  <input type="file" name="attachment" /><br />
  <input type="submit" value="Upload Attachment" /></p>
</form>

隐藏的表单变量MAX_FILE_SIZE告诉了浏览器最大允许上传的文件大小。与很多客户端限制相同，这一限制很容易被攻击者绕开，但它可以为合法用户提供向导。在服务器上进行该限制才是可靠的。

PHP的配置变量中，upload_max_filesize控制最大允许上传的文件大小。同时post_max_size（POST表单的最大提交数据的大小）也能潜在地进行控制，因为文件是通过表单数据进行上传的。

接收程序upload.php显示了超级全局数组$_FILES的内容：

<?php
 
  header('Content-Type: text/plain');
  print_r($_FILES);
 
?>

为了理解上传的过程，我们使用一个名为author.txt的文件进行测试，下面是它的内容：

Chris Shiflett
http://shiflett.org/

当你上传该文件到upload.php程序时，你可以在浏览器中看到类似下面的输出：

Array
(
    [attachment] => Array
        (
            [name] => author.txt
            [type] => text/plain
            [tmp_name] => /tmp/phpShfltt
            [error] => 0
            [size] => 36
        )

)

虽然从上面可以看出PHP实际在超级全局数组$_FILES中提供的内容，但是它无法给出表单数据的原始信息。作为一个关注安全的开发者，需要识别输入以知道浏览器实际发送了什么，看一下下面的HTTP请求信息是很有必要的：

POST /upload.php HTTP/1.1
Host: example.org
Content-Type: multipart/form-data; boundary=----------12345
Content-Length: 245

----------12345
Content-Disposition: form-data; name="attachment"; filename="author.txt"
Content-Type: text/plain

Chris Shiflett
http://shiflett.org/

----------12345
Content-Disposition: form-data; name="MAX_FILE_SIZE"

1024
----------12345--

虽然你没有必要理解请求的格式，但是你要能识别出文件及相关的元数据。用户只提供了名称与类型，因此tmp_name，error及size都是PHP所提供的。

由于PHP在文件系统的临时文件区保存上传的文件（本例中是/tmp/phpShfltt），所以通常进行的操作是把它移到其它地方进行保存及读取到内存。如果你不对tmp_name作检查以确保它是一个上传的文件（而不是/etc/passwd之类的东西），存在一个理论上的风险。之所以叫理论上的风险，是因为没有一种已知的攻击手段允许攻击者去修改tmp_name的值。但是，没有攻击手段并不意味着你不需要做一些简单的安全措施。新的攻击手段每天在出现，而简单的一个步骤能保护你的系统。

PHP提供了两个方便的函数以减轻这些理论上的风险：is_uploaded_file( ) and move_uploaded_file( )。如果你需要确保tmp_name中的文件是一个上传的文件，你可以用is_uploaded_file( )：

<?php
 
  $filename = $_FILES['attachment']['tmp_name'];
 
  if (is_uploaded_file($filename))
  {
    /* $_FILES['attachment']['tmp_name'] is an uploaded file. */
  }
 
?>

如果你希望只把上传的文件移到一个固定位置，你可以使用move_uploaded_file()：

<?php
 
  $old_filename = $_FILES['attachment']['tmp_name'];
  $new_filename = '/path/to/attachment.txt';
 
  if (move_uploaded_file($old_filename, $new_filename))
  {
    /* $old_filename is an uploaded file, and the move was successful. */
  }
 
?>

最后你可以用 filesize()来校验文件的大小：

<?php
 
  $filename = $_FILES['attachment']['tmp_name'];
 
  if (is_uploaded_file($filename))
  {
    $size = filesize($filename);
  }
 
?>

这些安全措施的目的是加上一层额外的安全保护层。最佳的方法是永远尽可能少地去信任。

延伸阅读

此文章所在专题列表如下：

1. PHP安全编程：register_globals的安全性
2. PHP安全编程：不要让不相关的人看到报错信息
3. PHP安全编程：网站安全设计的一些原则
4. PHP安全编程：可用性与数据跟踪
5. PHP安全编程：过滤用户输入
6. PHP安全编程：对输出要进行转义
7. PHP安全编程：表单与数据安全
8. PHP安全编程：从URL的语义进行攻击
9. PHP安全编程：文件上传攻击的防御
10. PHP安全编程：跨站脚本攻击的防御
11. PHP安全编程：跨站请求伪造CSRF的防御
12. PHP安全编程：关于表单欺骗提交
13. PHP安全编程：HTTP请求欺骗
14. PHP安全编程：不要暴露数据库访问权限
15. PHP安全编程：防止SQL注入
16. PHP安全编程：cookie暴露导致session被劫持
17. PHP安全编程：session固定获取合法会话
18. PHP安全编程：session劫持的防御
19. PHP安全编程：防止源代码的暴露
20. PHP安全编程：留心后门URL
21. PHP安全编程：阻止文件名被操纵
22. PHP安全编程：文件包含的代码注入攻击
23. PHP安全编程：文件目录猜测漏洞
24. PHP安全编程：打开远程文件的风险
25. PHP安全编程：shell命令注入
26. PHP安全编程：暴力破解攻击
27. PHP安全编程：密码嗅探与重播攻击
28. PHP安全编程：记住登录状态的安全做法
29. PHP安全编程：共享主机的源码安全
30. PHP安全编程：更优的会话数据安全
31. PHP安全编程：会话数据注入
32. PHP安全编程：主机文件目录浏览
33. PHP安全编程：PHP的安全模式

本文地址：http://www.nowamagic.net/librarys/veda/detail/1993，欢迎访问原出处。