나는이 주제가 널리 논의 된 것을 알고있다. 저의 연구를 해본 결과 이미지 파일을 DB 대신 BLOB 파일로 저장하기로 결정했습니다. 내가 가지고있는 문제는 파일을 업로드하고 지정된 폴더에 저장 한 다음 대상을 db에 저장하는 가장 좋은 방법을 찾아 내려고 시도하는 것입니다 .say ../ img/something.jpg - 살펴 보았습니다. 많은 자원들이 있지만 그 대부분은 그 과정에서 중요한 단계들을 놓치고있다.PHP를 사용하여 이미지 파일을 서버에 업로드하는 가장 안전한 방법은 무엇입니까?
문제 :
나는 PHP와 MySQL을 사용하고있다.
당신이 당신이 무엇을 원하는의 기본 개념을 다루고 이동 :
<?php
$allowedTypes = array("image/jpg", "image/jpeg", "image/png");
$maxSize = 3 * 1024 * 1024; // 3Mb
$fileType = $_FILES["file"]["type"];
$fileSize = $_FILES["file"]["size"];
// check if there was an error
if ($_FILES["file"]["error"] > 0)
{
die($_FILES["file"]["error"]);
}
// check if the filetype is valid
if (!in_array($fileType, $allowedTypes))
{
die("Invalid file type: $fileType");
}
// check if the size doesn't exceed the limitations
if ($fileSize > $maxSize)
{
die("The file was too big: $fileSize");
}
$name = $_FILES["file"]["name"];
$tmpfile = $_FILES["file"]["tmp_name"];
// check if the filename is valid
if (preg_match("/[\w-]+\.(jpg|jpeg|png)$/", $name) != 1)
{
die("Invalid file name: $name");
}
// create unique name if needed
$path = "/var/www/images/" . $name;
move_uploaded_file($tmpfile, $path);
// add the filepath to mysql
mysql_connect("localhost", "username", "password");
mysql_select_db("imagedb");
mysql_query("INSERT INTO images (Location, Size) VALUES ('$path', '$size');");
?>
이것은 그것이 어떻게 행해질 수 있는지를 보여주기위한 것입니다.
몰라 무엇에 대한 모든 점,하지만 당신이 정말로 염려 할 필요하면 파일 확장자에 대한
검사입니다.
파일 이름에서 추출한 다음 허용되는 파일과 비교하십시오.
파일명이 하나의 점으로 만 표시되는지 확인하거나 적어도 이상한 Apache 동작으로 인해 name.html.jpg과 같은 이름이 없어도됩니다.
파일 내용을 확인하십시오. 가장 좋은 방법은 업로드 된 이미지에서 새로운 이미지를 만드는 것입니다.
DB를 사용하는 동안 일반적인 예방 조치를 취하십시오.
당신은'file'을 업로드하고 '파일을 제한?에 대한 안전한 방법을 찾기로 무슨 뜻 이죠'특정 확장 또는로 제한 하시겠습니까? .. – luastoned
예. 사용자를 .png 또는 .jpg 파일로만 제한하십시오. – diesel
사용자가 자신의 프로필 이미지를 말하고 안전하게 이미지를 업로드 할 수있게하고 싶습니다. 나는 사용자가 내 사이트에 위협을 가하는 실행 파일이나 다른 것을 업로드하는 것을 원하지 않는다. – diesel