Загрузка изображения на сервер

@Rodion2703 · Регистрация: 06.01.2013

Студворк — интернет-сервис помощи студентам

Как можно загрузить изображение через форму? То есть у меня есть форма добавления поста и там нужно вставить миниатюру, как это сделать?

@nonamez123 · 19.01.2013, 23:37

HTML5
1
<input type="file" name="thumb_file">

PHP
1
2
3
if(isset($_FILES['thumb_file']){
//....
}

@Rodion2703 · 20.01.2013, 00:41 **[ТС]**

Понятно

Просто я думал, что данные передаются по $_POST['thumb_file']

@nonamez123 · 20.01.2013, 00:41

не забудь проверить файл, а то тебе там всяких пакостей нагрузят.

@Dolphin · 20.01.2013, 00:46

И добавить к форме

HTML5
1
<form ..... enctype="multipart/form-data">

@Rodion2703 · 20.01.2013, 03:31 **[ТС]**

Я кстати слышал, что если проверять файл так:

PHP
1
if($_FILES['filename']['type'] == 'image/jpeg')

то всё равно, он загрузит если там на пример будет php код, но с разрешением *.jpg

@nonamez123 · 20.01.2013, 03:43

Сообщение от Rodion2703

Я кстати слышал, что если проверять файл так:

PHP
1
if($_FILES['filename']['type'] == 'image/jpeg')

то всё равно, он загрузит если там на пример будет php код, но с разрешением *.jpg

Совершенно верно, браузер лишь передаёт майм-тайп. Есть куча статей на тему 'php безопасная загрузка файлов' - гугли.

@Rodion2703 · 20.01.2013, 03:52 **[ТС]**

okey

@nameveiof · 09.04.2013, 21:27

Чтобы не создавать тему запощу здесь, проблема тоже про безопасную выгрузку но не картинок.

кратко:
Если существует форма аплоада то, как известно, плохо продуманная обработка выгруженных пользователем файлов подвергает опасности сайт. Могут выгрузить файлы с вредоносным кодом.
Хорошее ли решение для безопасности -- выгруженные файлы в папке upload сжимать в zip и давать своё имя + добавить рэндомный набор символов в конце (5 знаков допустим)

http://22.p.ht/1/page48.html
вот страница, ещё буду переделывать.
----------------------------------------------------------
подробно:
Делаю страницу конструктор цены с формой выгрузки файлов. (файлы можно и не выгружать здесь я о варианте если выгрузят)

При нажатии отправить все данные передаются php скрипту через post

В форме выгрузки имя файла проверяется javascriptом на клиентской части на не валидные символы,
и на разрешённое расширение.

при нажатии субмита делается следующее:

1 формируется pdf в котором записаны результаты выбора
2 принимается выгруженный файл

3 pdf выдаётся юзеру с именем по которому не определить что складывается в upload например "Zakaz_#01_Vasya_pupkin.pdf"
4 выгруженный файл + pdf отправляются в почту менеджеру магазина

5 и главное выгруженный файл + pdf архивируются вместе (zip или rar) им даётся имя номер заказа_дата_время_рэндомные символы.zip
пример
"00001__09_04_2013__11_02_b3sjk.zip"

Вот такие файлы будут в папке upload.
Вопрос.
Такие меры которые я предпринимаю с точки зрения безопасности надёжны, достаточны, правильны, что то ещё можно предпринять?

Ещё думаю правильно добавить в папке upload htacess с директивой отключающей выполнение php в ней

PHP
1
2
3
4
5
6
7
8
9
10
 deny from all 
  
 <Files> 
 order deny,allow 
  
 allow from all 
  
 </Files> 
 php_flag engine 0 
 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

и урезать права файлу .htacess по минимому 444 или 400
Естественно и самые минимальные для выполнения операций выставить права в папке upload

Я бы вынес на отдельный поддомен файлы, но такой возможности у заказчика нет.

----------------------------------------------------------
Задача всего этого сделать безопасную выгрузку файлов в папку uploads, чтобы злоумышленник не мог или труднее было взломать сайт например исполнив загруженные файлы с внедрённым кодом.

Проверка на клиентской стороне конечно ничего не даёт её легко обойти. Она только для удобства клиентов.

@nonamez123 · 09.04.2013, 21:29

рандомое имя, запрет на выполнение, проверка типа (если картинка, то вдобавок можно с гдшкой пересоздать). Ну или как альтернатива - хранение за пределами www каталога.

@nameveiof · 10.04.2013, 21:33

nonamez123,
спасибо за ответ, да архив пожалуй лишнее если злоупотребят то загрузят сервер.

Надо попробовать в такой папке, может разрешит им хостер это.

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит переходные токи и напряжения на элементах схемы. . . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .

@Rodion2703 24 / 20 / 5 Регистрация: 06.01.2013 Сообщений: 819

	Загрузка изображения на сервер 19.01.2013, 15:33. Показов 1872. Ответов 10 Метки нет (Все метки) Как можно загрузить изображение через форму? То есть у меня есть форма добавления поста и там нужно вставить миниатюру, как это сделать? 0

@Rodion2703 24 / 20 / 5 Регистрация: 06.01.2013 Сообщений: 819
	20.01.2013, 00:41 [ТС]
	Понятно Просто я думал, что данные передаются по $_POST['thumb_file'] 0

@nonamez123 189 / 185 / 54 Регистрация: 23.10.2010 Сообщений: 1,336
	20.01.2013, 00:41
	не забудь проверить файл, а то тебе там всяких пакостей нагрузят. 1

@Rodion2703 24 / 20 / 5 Регистрация: 06.01.2013 Сообщений: 819
	20.01.2013, 03:52 [ТС]
	okey 0

@nonamez123 189 / 185 / 54 Регистрация: 23.10.2010 Сообщений: 1,336
	09.04.2013, 21:29
	рандомое имя, запрет на выполнение, проверка типа (если картинка, то вдобавок можно с гдшкой пересоздать). Ну или как альтернатива - хранение за пределами www каталога. 0

@nameveiof 0 / 0 / 0 Регистрация: 08.05.2012 Сообщений: 10
	10.04.2013, 21:33
	nonamez123, спасибо за ответ, да архив пожалуй лишнее если злоупотребят то загрузят сервер. Надо попробовать в такой папке, может разрешит им хостер это. 0