développement back-endtutoriel phpGuide de sécurité du téléchargement de fichiers PHP : Comment utiliser le tableau $_FILES pour obtenir des informations sur les fichiers téléchargésGuide de sécurité du téléchargement de fichiers PHP : Comment utiliser le tableau $_FILES pour obtenir des informations sur les fichiers téléchargés
Guide de sécurité du téléchargement de fichiers PHP : Comment utiliser le tableau $_FILES pour obtenir des informations sur les fichiers téléchargés
Résumé :
Le téléchargement de fichiers est l'une des fonctions courantes dans le développement Web. Cependant, une mise en œuvre incorrecte du téléchargement de fichiers peut entraîner des failles de sécurité, entraînant des risques potentiels pour l'application. Cet article expliquera comment utiliser le tableau $_FILES de PHP pour obtenir en toute sécurité les informations sur les fichiers téléchargés et les combinera avec des exemples de code pour aider les lecteurs à mieux comprendre.
-
Définir des limites de téléchargement de fichiers appropriées
En PHP, nous pouvons utiliser le fichier php.ini pour définir les limites de téléchargement de fichiers. Voici quelques options de configuration courantes :; 允许上传的文件最大大小 upload_max_filesize = 5M ; 允许同时上传的文件数量 max_file_uploads = 20 ; 允许上传的文件类型 allowed_file_types = image/jpeg, image/png
Grâce à ces paramètres, nous pouvons contrôler la taille, la quantité et le type de fichiers téléchargés, évitant ainsi efficacement certains problèmes de sécurité potentiels.
- Utilisez le tableau $_FILES pour obtenir des informations sur les fichiers téléchargés
En PHP, nous pouvons utiliser le tableau $_FILES pour obtenir des informations sur les fichiers téléchargés. Le tableau $_FILES est un tableau associatif, son nom de clé est le nom du champ de saisie dans le formulaire de téléchargement de fichier et la valeur de clé est un tableau contenant des informations sur le fichier téléchargé.
Ce qui suit est un exemple d'utilisation de base :
<form action="upload.php" method="POST" enctype="multipart/form-data"> <input type="file" name="file" /> <input type="submit" value="上传" /> </form>
Dans le script PHP de téléchargement de fichiers, nous pouvons obtenir les informations du fichier téléchargé comme ceci :
$file = $_FILES['file']; echo "文件名:" . $file['name'] . "<br />"; echo "文件类型:" . $file['type'] . "<br />"; echo "文件大小:" . $file['size'] . "字节 <br />"; echo "临时文件名:" . $file['tmp_name'] . "<br />";
Grâce au tableau $_FILES, nous pouvons facilement obtenir le nom de le fichier téléchargé, des informations telles que le type, la taille et le nom du fichier temporaire.
- Contrôles de sécurité pour les fichiers téléchargés
En plus d'obtenir des informations sur les fichiers téléchargés, nous devons également effectuer des contrôles de sécurité supplémentaires. Voici quelques méthodes courantes de vérification de sécurité :
3.1 Vérifiez le type MIME des fichiers téléchargés
$allowed_mime_types = array('image/jpeg', 'image/png');
if (!in_array($file['type'], $allowed_mime_types)) {
die("禁止上传该类型的文件");
}En vérifiant le type MIME des fichiers téléchargés, nous pouvons empêcher les utilisateurs de télécharger des types de fichiers illégaux.
3.2 Vérifiez l'extension du fichier
$allowed_extensions = array('jpg', 'png');
$extension = pathinfo($file['name'], PATHINFO_EXTENSION);
if (!in_array($extension, $allowed_extensions)) {
die("禁止上传该扩展名的文件");
}En vérifiant l'extension du fichier, nous pouvons garantir davantage la légitimité du fichier téléchargé.
3.3 Déplacer et télécharger des fichiers vers le répertoire spécifié
$target_directory = "uploads/";
$target_path = $target_directory . $file['name'];
if (move_uploaded_file($file['tmp_name'], $target_path)) {
echo "文件上传成功";
} else {
echo "文件上传失败";
}Lors du déplacement et du téléchargement de fichiers vers le répertoire spécifié, nous devons également nous assurer que le répertoire cible dispose des paramètres d'autorisation appropriés pour empêcher les utilisateurs malveillants de télécharger des fichiers contenant du code malveillant.
Conclusion :
En utilisant le tableau $_FILES, combiné à des contrôles de sécurité appropriés, nous pouvons obtenir en toute sécurité des informations pertinentes sur les fichiers téléchargés, évitant ainsi les risques de sécurité indésirables. Que vous soyez un développeur nouveau ou expérimenté, vous devez garder à l'esprit la sécurité du téléchargement de fichiers pendant le processus de développement et suivre les meilleures pratiques pour protéger la sécurité de votre application et des données utilisateur.
Référence :
- Documentation officielle PHP : http://php.net/manual/zh/reserved.variables.files.php
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comment fonctionne la résistance au type PHP, y compris les types scalaires, les types de retour, les types d'union et les types nullables?Apr 17, 2025 am 12:25 AMLe type PHP invite à améliorer la qualité et la lisibilité du code. 1) Conseils de type scalaire: Depuis PHP7.0, les types de données de base sont autorisés à être spécifiés dans les paramètres de fonction, tels que INT, Float, etc. 2) Invite de type de retour: Assurez la cohérence du type de valeur de retour de fonction. 3) Invite de type d'union: Depuis PHP8.0, plusieurs types peuvent être spécifiés dans les paramètres de fonction ou les valeurs de retour. 4) Invite de type nullable: permet d'inclure des valeurs nulles et de gérer les fonctions qui peuvent renvoyer les valeurs nulles.
Comment PHP gère le clonage des objets (mot-clé de clone) et la méthode de magie __clone?Apr 17, 2025 am 12:24 AMDans PHP, utilisez le mot-clé Clone pour créer une copie de l'objet et personnalisez le comportement de clonage via la méthode de magie du clone \ _ \ _. 1. Utilisez le mot-clé Clone pour faire une copie peu profonde, en clonant les propriétés de l'objet mais pas aux propriétés de l'objet. 2. La méthode du clone \ _ \ _ peut copier profondément les objets imbriqués pour éviter les problèmes de copie superficiels. 3. Faites attention pour éviter les références circulaires et les problèmes de performance dans le clonage et optimiser les opérations de clonage pour améliorer l'efficacité.
PHP vs Python: cas d'utilisation et applicationsApr 17, 2025 am 12:23 AMPHP convient aux systèmes de développement Web et de gestion de contenu, et Python convient aux scripts de science des données, d'apprentissage automatique et d'automatisation. 1.Php fonctionne bien dans la création de sites Web et d'applications rapides et évolutifs et est couramment utilisé dans CMS tel que WordPress. 2. Python a permis de manière remarquable dans les domaines de la science des données et de l'apprentissage automatique, avec des bibliothèques riches telles que Numpy et Tensorflow.
Décrivez différents en-têtes de mise en cache HTTP (par exemple, contrôle du cache, ETAG, dernier modifié).Apr 17, 2025 am 12:22 AMLes acteurs clés des en-têtes de cache HTTP incluent le contrôle du cache, l'ETAG et la dernière modification. 1.CACHE-Control est utilisé pour contrôler les politiques de mise en cache. Exemple: Cache-Control: Max-Age = 3600, public. 2. Etag vérifie les changements de ressources par le biais d'identifiants uniques, exemple: ETAG: "686897696A7C876B7E". 3.Last-modifié indique le dernier temps de modification de la ressource, exemple: dernier modifié: mer, 21oct201507: 28: 00gmt.
Expliquez le hachage de mot de passe sécurisé dans PHP (par exemple, Password_Hash, Password_verify). Pourquoi ne pas utiliser MD5 ou SHA1?Apr 17, 2025 am 12:06 AMDans PHP, Password_Hash et Password_verify Les fonctions doivent être utilisées pour implémenter le hachage de mot de passe sécurisé, et MD5 ou SHA1 ne doit pas être utilisé. 1) Password_hash génère un hachage contenant des valeurs de sel pour améliorer la sécurité. 2) Password_verify Vérifiez le mot de passe et assurez-vous la sécurité en comparant les valeurs de hachage. 3) MD5 et SHA1 sont vulnérables et manquent de valeurs de sel, et ne conviennent pas à la sécurité de mot de passe moderne.
PHP: une introduction au langage des scripts côté serveurApr 16, 2025 am 12:18 AMPHP est un langage de script côté serveur utilisé pour le développement Web dynamique et les applications côté serveur. 1.Php est un langage interprété qui ne nécessite pas de compilation et convient au développement rapide. 2. Le code PHP est intégré à HTML, ce qui facilite le développement de pages Web. 3. PHP traite la logique côté serveur, génère une sortie HTML et prend en charge l'interaction utilisateur et le traitement des données. 4. PHP peut interagir avec la base de données, traiter la soumission du formulaire et exécuter les tâches côté serveur.
PHP et le Web: explorer son impact à long termeApr 16, 2025 am 12:17 AMPHP a façonné le réseau au cours des dernières décennies et continuera de jouer un rôle important dans le développement Web. 1) PHP est originaire de 1994 et est devenu le premier choix pour les développeurs en raison de sa facilité d'utilisation et de son intégration transparente avec MySQL. 2) Ses fonctions principales incluent la génération de contenu dynamique et l'intégration à la base de données, ce qui permet au site Web d'être mis à jour en temps réel et affiché de manière personnalisée. 3) La large application et l'écosystème de PHP ont motivé son impact à long terme, mais il fait également face à des mises à jour de version et à des défis de sécurité. 4) Les améliorations des performances ces dernières années, telles que la sortie de PHP7, lui permettent de rivaliser avec les langues modernes. 5) À l'avenir, PHP doit faire face à de nouveaux défis tels que la conteneurisation et les microservices, mais sa flexibilité et sa communauté active le rendent adaptable.
Pourquoi utiliser PHP? Avantages et avantages expliquésApr 16, 2025 am 12:16 AMLes principaux avantages du PHP comprennent la facilité d'apprentissage, un soutien solide sur le développement Web, les bibliothèques et les cadres riches, les performances élevées et l'évolutivité, la compatibilité multiplateforme et la rentabilité. 1) Facile à apprendre et à utiliser, adapté aux débutants; 2) une bonne intégration avec les serveurs Web et prend en charge plusieurs bases de données; 3) ont des cadres puissants tels que Laravel; 4) Des performances élevées peuvent être obtenues grâce à l'optimisation; 5) prendre en charge plusieurs systèmes d'exploitation; 6) Open source pour réduire les coûts de développement.
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Version crackée d'EditPlus en chinois
Petite taille, coloration syntaxique, ne prend pas en charge la fonction d'invite de code
Version Mac de WebStorm
Outils de développement JavaScript utiles
Navigateur d'examen sécurisé
Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.
SublimeText3 version anglaise
Recommandé : version Win, prend en charge les invites de code !
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
