Загрузка файлов методом POST
Данная возможность позволяет загружать как текстовые, так и
бинарные файлы. С помощью PHP-функций аутентификации и работы с
файлами вы имеете полный контроль над тем, кому разрешено
загружать файлы и что делать с файлом после его загрузки.
PHP способен получать загруженные файлы из любого браузера,
совместимого со стандартом RFC-1867.
Замечание:
Смежные замечания по конфигурации
Также ознакомьтесь с описанием директив file_uploads,
upload_max_filesize,
upload_tmp_dir,
post_max_size и
max_input_time конфигурационного
файла php.ini
Также следует заметить, что PHP поддерживает загрузку файлов методом PUT,
который используется в клиентах Netscape Composer
и W3C Amaya. Для получения
более детальной документации обратитесь к разделу
поддержка метода PUT.
Пример #1 Форма для загрузки файлов
Страница для загрузки файлов может быть реализована при помощи
специальной формы, которая выглядит примерно так:
<!-- Тип кодирования данных, enctype, ДОЛЖЕН БЫТЬ указан ИМЕННО так -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
<!-- Поле MAX_FILE_SIZE должно быть указано до поля загрузки файла -->
<input type="hidden" name="MAX_FILE_SIZE" value="30000" />
<!-- Название элемента input определяет имя в массиве $_FILES -->
Отправить этот файл: <input name="userfile" type="file" />
<input type="submit" value="Отправить файл" />
</form>
В приведённом выше примере __URL__
необходимо заменить ссылкой
на PHP-скрипт.
Скрытое поле MAX_FILE_SIZE
(значение
необходимо указывать в байтах) должно предшествовать полю
для выбора файла, и его значение является максимально
допустимым размером принимаемого файла в PHP.
Рекомендуется всегда использовать эту переменную, так как она
предотвращает тревожное ожидание пользователей при передаче
огромных файлов, только для того, чтобы узнать, что файл
слишком большой и передача фактически не состоялась.
Имейте в виду, что обойти это ограничение на стороне браузера достаточно
просто, следовательно, вы не должны полагаться на то, что
все файлы большего размера будут блокированы при помощи этой
возможности. Это по большей части удобная возможность для
пользователей клиентской части вашего приложения.
Однако настройки PHP (на сервере) касательно
максимального размера обойти невозможно.
Замечание:
Также следует убедиться, что форма загрузки имеет атрибут
enctype="multipart/form-data"
, в противном случае
загрузка файлов на сервер не произойдёт.
Глобальный массив $_FILES содержит всю информацию о загруженных файлах.
Его содержимое для нашего примера приводится ниже. Обратите внимание, что здесь предполагается
использование имени userfile для поля
выбора файла, как и в приведённом выше примере. На самом деле
имя поля может быть любым.
-
$_FILES['userfile']['name']
-
Оригинальное имя файла на компьютере клиента.
-
$_FILES['userfile']['type']
-
Mime-тип файла, в случае, если браузер предоставил такую
информацию. В качестве примера можно привести "image/gif"
. Этот
mime-тип не проверяется на стороне PHP, так что не полагайтесь
на его значение без проверки.
-
$_FILES['userfile']['size']
-
Размер в байтах принятого файла.
-
$_FILES['userfile']['tmp_name']
-
Временное имя, с которым принятый файл был сохранён на сервере.
-
$_FILES['userfile']['error']
-
Код ошибки,
которая может возникнуть при загрузке файла.
-
$_FILES['userfile']['full_path']
-
Полный путь, представленный браузером. Это значение не всегда содержит реальную структуру каталогов и ему нельзя доверять.
Доступно, начиная с PHP 8.1.0.
По умолчанию принятые файлы сохраняются на сервере в стандартной
временной папке до тех пор, пока не будет задана другая директория при
помощи директивы upload_tmp_dir
конфигурационного файла php.ini. Директорию сервера по умолчанию
можно сменить, установив переменную TMPDIR для
окружения, в котором выполняется PHP. Установка этой переменной при помощи
функции putenv() внутри PHP-скрипта работать
не будет. Эта переменная окружения также может использоваться для того,
чтобы удостовериться, что другие операции также работают с принятыми файлами.
Пример #2 Проверка загружаемых на сервер файлов
Для получения более детальной информации вы можете ознакомиться
с описанием функций is_uploaded_file()
и move_uploaded_file(). Следующий пример
принимает и обрабатывает загруженный при помощи формы файл.
<?php
$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "Файл корректен и был успешно загружен.\n";
} else {
echo "Возможная атака с помощью файловой загрузки!\n";
}
echo 'Некоторая отладочная информация:';
print_r($_FILES);
print "</pre>";
?>
PHP-скрипт, принимающий загруженный файл, должен реализовывать логику,
необходимую для определения дальнейших действий над принятым файлом.
Например, вы можете проверить переменную $_FILES['userfile']['size'],
чтобы отсечь слишком большие или слишком маленькие файлы. Также вы
можете использовать переменную $_FILES['userfile']['type']
для исключения файлов, которые не удовлетворяют критерию касательно
типа файла, однако, принимайте во внимание, что это поле полностью
контролируется клиентом, используйте его только в качестве первой
из серии проверок. Также вы можете использовать
$_FILES['userfile']['error'] и
коды ошибок
при реализации вашей логики. Независимо от того, какую модель поведения
вы выбрали, вы должны удалить файл из временной папки или переместить его в
другую директорию.
В случае, если при отправке формы файл выбран не был, PHP установит
переменную $_FILES['userfile']['size'] значением 0, а переменную
$_FILES['userfile']['tmp_name'] - none.
По окончанию работы скрипта, если загруженный файл не был
переименован или перемещён, он будет автоматически удалён из временной папки.
Пример #3 Загрузка массива файлов
PHP поддерживает возможность передачи массива из HTML
в том числе и с файлами.
<form action="" method="post" enctype="multipart/form-data">
<p>Изображения:
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="submit" value="Отправить" />
</p>
</form>
<?php
foreach ($_FILES["pictures"]["error"] as $key => $error) {
if ($error == UPLOAD_ERR_OK) {
$tmp_name = $_FILES["pictures"]["tmp_name"][$key];
// basename() может спасти от атак на файловую систему;
// может понадобиться дополнительная проверка/очистка имени файла
$name = basename($_FILES["pictures"]["name"][$key]);
move_uploaded_file($tmp_name, "data/$name");
}
}
?>
Полоса прогресса загрузки файлов может быть реализована с помощью
"отслеживания прогресса загрузки файлов с помощью сессий".