一、文件上传
为了让客户端的用户能够上传文件,我们必须在用户界面中提供一个表单用于提交上传文件的请求。由于上传的文件是一种特殊数据,不同于其它的post数据,所以我们必须给表单设置一个特殊的编码:
以上的enctype属性,你可能不太熟悉,因为这常常会被忽略掉。但是,如果http post请求中既有常规数据,又包含文件类数据的话,这个属性就应该显示加上,这样可以提高针对各种浏览器的兼容性。
接下来,我们得向表单中添加一个用于上传文件的字段:
上述文件字段在各种浏览器中可能表现会有所不同。对于大多数的浏览器,上述字段都会被渲染成一个文本框加上一个浏览按钮。这样,用户既可以自行输入文件的路径到文本框中,也可以通过浏览按钮从本地硬盘上选择所要上传的文件。但是,在苹果的Safari中,貌似只能使用浏览这种方式。当然,你也可以自定义这个上传框的样式,使它看起来比默认的样式优雅些。
下面,为了更好的阐述怎么样处理文件上传,举一个完整的例子。比如,以下一个表单允许用户向我的本地服务器上上传附件:
请上传你的附件:
提示:可以通过php.ini中的upload_max_filesize来设置允许上传文件的最大值。另外,还有一个post_max_size也可以用来设置允许上传的最大表单数据,具体意思就是表单中各种数据之和,所以你也可以通过设置这个字段来控制上传文件的最大值。但是,注意后者的值必须大于前者,因为前者属于后者的一部分表单数据。
 |
그림 1. Firefox에 표시된 업로드 양식
이 양식을 제출하면 http 요청이 upload.php로 전송됩니다. upload.php에서 사용할 수 있는 정보를 정확하게 표시하기 위해 upload.php에 인쇄합니다.
header('Content-Type: text/plain');
print_r($_FILES);
아래에서 실험해 보겠습니다. 위의 양식을 사용하여 이 블로그의 로고를 내 로컬 서버인 www.360weboy.me/upload.php에 업로드하고 upload.php에 어떤 정보가 출력되는지 확인하세요.
[이름] => 소년 .jpg
[유형] => 이미지/jpeg
[tmp_name] => D:xampptmpphp1168.tmp
[오류] =&g t; 0
> )
)
위 내용은 파일이 업로드된 후 전역 배열에 있는 현재 업로드된 파일에 대한 모든 정보입니다. 하지만 이 정보가 안전하다고 보장할 수 있나요? 이름이나 기타 정보가 변조된 경우 어떻게 되나요? 우리는 항상 고객의 정보에 주의해야 합니다!
파일 업로드를 더 잘 이해하려면 클라이언트가 보낸 http 요청에 어떤 특정 정보가 포함되어 있는지 확인해야 합니다. 앞서 올렸던 첨부파일은 이 블로그의 로고이기 때문에 저희가 위의 실험을 하기에는 적합하지 않습니다. 그래서 구체적으로 다음 내용이 포함된 test.text 텍스트 파일을 다시 업로드했습니다.
코드 복사
알겠습니다. 이제 이 텍스트 파일을 업로드하면 upload.php에 출력됩니다.
코드 복사 (
(
[이름] => test.tx t
[유형] => 일반
~ ~
해당 브라우저에서 보낸 http post 요청을 살펴보겠습니다(일부 선택적 헤더를 생략했습니다):
코드 복사
코드는 다음과 같습니다.
POST /upload.php HTTP/1.1
호스트: www.360weboy.me
추천인: http://www.360weboy.me/
multipart/form-data ; 경계=---------------24464570528145
내용-길이: 234
----- -------------24464570528145
내용-처리: form-data; name="attachment"; "
콘텐츠 유형: text/plain
360weboy
360days
웹보이의 삶
----------- -- ----------------24464570528145--
위 요청 형식에는 주의해야 할 몇 가지 필드가 있습니다. 즉, 이름, filename 및 Content-Type은 각각 업로드 파일 상자의 필드 이름(첨부 파일), 사용자가 로컬 하드 디스크에서 업로드한 파일 이름(test.txt) 및 업로드된 파일 형식(text/)을 나타냅니다. 일반(텍스트 파일을 나타냄) 그러면 아래에 업로드된 파일의 특정 내용인 빈 줄이 표시됩니다.
2. 보안 강화
파일 업로드 시 보안을 강화하기 위해서는 $_FILES 전역 배열에서 tmp_name과 크기를 확인해야 합니다. tmp_name이 가리키는 파일이 실제로 /etc/passwd와 같은 것을 가리키는 대신 사용자가 클라이언트에 업로드한 파일인지 확인하려면 PHP에서 is_uploaded_file() 함수를 사용하여 판단할 수 있습니다. 🎜>
$filename = $_FILES[' attachment']['tmp_name'];
if (is_uploaded_file($filename)) {
/* 업로드된 파일입니다. */
}
또 확인해야 할 사항은 업로드된 파일의 MIME 유형입니다. 이는 위에서 언급한 upload.php의 출력 배열 유형 필드입니다. 첫 번째 예시에서 업로드한 것은 이미지이므로 $_FILES['attachment']['type'] 값은 'image/jpeg' 입니다. 서버 측에서 image/png, image/jpeg, image/gif, image/x-png 및 image/p-jpeg와 같은 MIME 유형 이미지만 허용하려는 경우 다음과 유사한 코드를 사용하여 확인할 수 있습니다. (예제를 제시하세요. 오류 보고 등과 같은 특정 코드는 시스템의 메커니즘을 따라야 합니다.):
'이미지/X-PNG',
'이미지/GIF ',
'이미지/JPEG'
~ Allow_mimes)) {
DIE ('죄송합니다. 업로드한 파일 형식이 정확하지 않습니다. 사진 파일만 허용됩니다.');
보시다시피, 파일의 MIME 유형이 서버 측 요구 사항을 충족하는지 확인했습니다. 그러나 이러한 마임형 악성 사용자는 위장할 수 있기 때문에 악의적인 사용자가 다른 유해 파일을 업로드하는 것을 방지하는 것만으로는 충분하지 않습니다. 예를 들어, 사용자는 jpg 사진을 만들고 사진의 메타데이터에 악성 PHP 코드를 작성한 다음 접미사가 php.ini인 파일로 저장했습니다. 이 악성 파일이 업로드되면 서버 측 MIME 유형 검사를 성공적으로 통과하고 이미지로 간주되며 내부의 위험한 PHP 코드가 실행됩니다. 특정 이미지 메타데이터는 다음과 유사합니다.
파일명 : image.jpg
파일크기 : 182007 bytes
파일날짜 : 2012:11:27 7:45:10
해상도 : 1197 x 478
댓글 : passthru( $_POST['cmd ']); __halt_compiler();
이미지 메타데이터의 Comment 필드에 PHP 코드가 추가된 것을 확인할 수 있습니다. 따라서 유사한 위험한 상황이 발생하지 않도록 하기 위해서는 업로드된 파일의 확장자에 대해 필요한 점검이 이루어져야 함은 자명하다. 다음 코드는 Mime 유형 확인을 위한 이전 코드를 향상시킵니다.
$allow_mimes = array(
'image/png' => image/gif' => '.gif',
'image/jpeg' => '.jpg' ,
'image/pjpeg' => '.jpg'
);
$image = $_FILES['attachment'];
if(!array_key_exists($ image['type'], $allow_mimes )) {
die('죄송합니다. 파일 형식이 정확하지 않습니다. 이미지 파일만 허용합니다.');
| '이름'], '.'));
🎜> // 업로드된 파일을 계속 처리합니다
위의 코드를 통해 우리는 메타가 업로드된 이미지의 파일에 PHP 코드가 포함되어 있는 경우, 이미지 파일 이름은 접미사 File이라는 이름의 image format으로 바뀌므로 그 안의 PHP 코드는 실행되지 않습니다. 위 코드는 일반 업로드 이미지에 부정적인 영향을 미치지 않습니다.
보안을 강화하기 위해 위 단계를 수행한 후 업로드된 파일을 지정된 디렉터리에 저장하려는 경우 PHP의 기본 함수 move_uploaded_file을 사용하여 이를 달성할 수 있습니다.
코드는 다음과 같습니다.
자, 일단 파일 업로드에 대한 글은 여기서 그만 두겠습니다. 이 소개 글이 여러분에게 도움이 되었기를 바랍니다.
C 및 JavaScript : 연결이 설명되었습니다Apr 23, 2025 am 12:07 AMC 및 JavaScript는 WebAssembly를 통한 상호 운용성을 달성합니다. 1) C 코드는 WebAssembly 모듈로 컴파일되어 컴퓨팅 전력을 향상시키기 위해 JavaScript 환경에 도입됩니다. 2) 게임 개발에서 C는 물리 엔진 및 그래픽 렌더링을 처리하며 JavaScript는 게임 로직 및 사용자 인터페이스를 담당합니다.
웹 사이트에서 앱으로 : 다양한 JavaScript 애플리케이션Apr 22, 2025 am 12:02 AMJavaScript는 웹 사이트, 모바일 응용 프로그램, 데스크탑 응용 프로그램 및 서버 측 프로그래밍에서 널리 사용됩니다. 1) 웹 사이트 개발에서 JavaScript는 HTML 및 CSS와 함께 DOM을 운영하여 동적 효과를 달성하고 jQuery 및 React와 같은 프레임 워크를 지원합니다. 2) 반응 및 이온 성을 통해 JavaScript는 크로스 플랫폼 모바일 애플리케이션을 개발하는 데 사용됩니다. 3) 전자 프레임 워크를 사용하면 JavaScript가 데스크탑 애플리케이션을 구축 할 수 있습니다. 4) node.js는 JavaScript가 서버 측에서 실행되도록하고 동시 요청이 높은 높은 요청을 지원합니다.
Python vs. JavaScript : 사용 사례 및 응용 프로그램 비교Apr 21, 2025 am 12:01 AMPython은 데이터 과학 및 자동화에 더 적합한 반면 JavaScript는 프론트 엔드 및 풀 스택 개발에 더 적합합니다. 1. Python은 데이터 처리 및 모델링을 위해 Numpy 및 Pandas와 같은 라이브러리를 사용하여 데이터 과학 및 기계 학습에서 잘 수행됩니다. 2. 파이썬은 간결하고 자동화 및 스크립팅이 효율적입니다. 3. JavaScript는 프론트 엔드 개발에 없어서는 안될 것이며 동적 웹 페이지 및 단일 페이지 응용 프로그램을 구축하는 데 사용됩니다. 4. JavaScript는 Node.js를 통해 백엔드 개발에 역할을하며 전체 스택 개발을 지원합니다.
JavaScript 통역사 및 컴파일러에서 C/C의 역할Apr 20, 2025 am 12:01 AMC와 C는 주로 통역사와 JIT 컴파일러를 구현하는 데 사용되는 JavaScript 엔진에서 중요한 역할을합니다. 1) C는 JavaScript 소스 코드를 구문 분석하고 추상 구문 트리를 생성하는 데 사용됩니다. 2) C는 바이트 코드 생성 및 실행을 담당합니다. 3) C는 JIT 컴파일러를 구현하고 런타임에 핫스팟 코드를 최적화하고 컴파일하며 JavaScript의 실행 효율을 크게 향상시킵니다.
자바 스크립트 행동 : 실제 예제 및 프로젝트Apr 19, 2025 am 12:13 AM실제 세계에서 JavaScript의 응용 프로그램에는 프론트 엔드 및 백엔드 개발이 포함됩니다. 1) DOM 운영 및 이벤트 처리와 관련된 TODO 목록 응용 프로그램을 구축하여 프론트 엔드 애플리케이션을 표시합니다. 2) Node.js를 통해 RESTFULAPI를 구축하고 Express를 통해 백엔드 응용 프로그램을 시연하십시오.
JavaScript 및 웹 : 핵심 기능 및 사용 사례Apr 18, 2025 am 12:19 AM웹 개발에서 JavaScript의 주요 용도에는 클라이언트 상호 작용, 양식 검증 및 비동기 통신이 포함됩니다. 1) DOM 운영을 통한 동적 컨텐츠 업데이트 및 사용자 상호 작용; 2) 사용자가 사용자 경험을 향상시키기 위해 데이터를 제출하기 전에 클라이언트 확인이 수행됩니다. 3) 서버와의 진실한 통신은 Ajax 기술을 통해 달성됩니다.
JavaScript 엔진 이해 : 구현 세부 사항Apr 17, 2025 am 12:05 AM보다 효율적인 코드를 작성하고 성능 병목 현상 및 최적화 전략을 이해하는 데 도움이되기 때문에 JavaScript 엔진이 내부적으로 작동하는 방식을 이해하는 것은 개발자에게 중요합니다. 1) 엔진의 워크 플로에는 구문 분석, 컴파일 및 실행; 2) 실행 프로세스 중에 엔진은 인라인 캐시 및 숨겨진 클래스와 같은 동적 최적화를 수행합니다. 3) 모범 사례에는 글로벌 변수를 피하고 루프 최적화, Const 및 Lets 사용 및 과도한 폐쇄 사용을 피하는 것이 포함됩니다.
Python vs. JavaScript : 학습 곡선 및 사용 편의성Apr 16, 2025 am 12:12 AMPython은 부드러운 학습 곡선과 간결한 구문으로 초보자에게 더 적합합니다. JavaScript는 가파른 학습 곡선과 유연한 구문으로 프론트 엔드 개발에 적합합니다. 1. Python Syntax는 직관적이며 데이터 과학 및 백엔드 개발에 적합합니다. 2. JavaScript는 유연하며 프론트 엔드 및 서버 측 프로그래밍에서 널리 사용됩니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
