首頁 >後端開發 >php教程 >php檔案大小檢測以及大檔案上傳處理

php檔案大小檢測以及大檔案上傳處理

伊谢尔伦
伊谢尔伦原創
2016-12-02 09:28:093417瀏覽

由於涉及到本地和伺服器兩方面的安全問題,所以基於input type="file"形式的頁面檔案上傳一直處於一個很尷尬的位置。一方面,用戶不希望隱私洩露,所以瀏覽器無法對用戶在上傳時選擇的文件做有效的判 斷。另一方面,為了伺服器端的安全,減輕傳輸負擔,系統又希望能在使用者開始上傳之前就將非法的檔案拒於門外。

一來一去,基於原始input方式的上傳,成為網路儲存網站避之唯恐不及的遺留性問題,也造就了現在千奇百怪的插件、上傳客戶端。

input方式的上傳就如此之差麼?當然不是。上傳檔案不大的時候,它還是非常簡單可靠的,在PHP中,我們只需要一個複合型表單:

<form enctype="multipart/form-data" action="__URL__" method="POST">

一個輸入框:

<input name="userfile" type="file" />

和伺服器端的一行程式碼:

move_uploaded_file($_FILES[&#39;userfile&#39;][&#39;tmp_name&#39;], &#39;/var/www/uploads/&#39;. basename($_FILES[&#39;userfile&#39;][&#39;name&#39;]));

就可以實現整個上傳過程。

但隨文件增大,表單上傳的不足就會暴露出來。尤其是我們想取得最基本的檔案大小來阻止過大檔案上傳這個簡單的想法,也變得如此困難。以下一一道來:

透過MAX_FILE_SIZE

MAX_FILE_SIZE 隱藏欄位(單位為位元組)必須放在檔案輸入欄位之前,其值為接收檔案的最大尺寸。這是對瀏覽器的一個建議,PHP 也會檢查此項目。在瀏覽器端可以簡單繞過此設置,因此不要指望用此特性來阻擋大型檔案。實際上,PHP 設定中的上傳檔案最大值是不會失效的。但最好還是在表單中加上此項目,因為它可以避免用戶在花時間等待上傳大檔案之後才發現檔案過大上傳失敗的麻煩。

顯然PHP的開發者們也考慮到了大文件上傳的問題,但就像手冊所說,MAX_FILE_SIZE只是對瀏覽器的一個建議,事實上目前為止所有主流的瀏覽器並沒有採納這個建議,所以採用MAX_FILE_SIZE約束檔案大小形同擺設,不可行。

透過伺服器端

MAX_FILE_SIZE既然無效,那麼使用者可以將檔案上傳到伺服器,伺服器端透過$_FILES['userfile']['size']判斷使用者上傳的檔案大小,然後決定是否接受上傳並傳回訊息。暫且排除伺服器的負載以及可能存在的惡意破壞行為,這種解決方案聽起來無非是浪費一部分頻寬,也能對使用者 上傳檔案作出約束。

但這也是不可行的,PHP的檔案上傳受到php.ini以下這些設定的影響:

post_max_size
upload_max_filesize
max_execution_time
memory_limit

雖然設定方法在手冊中都有比較詳細的說明,之所以仍然說此方法不可行,是因為php執行腳本在超過memory_limit時,該次的POST資料會全部遺失且不會報錯!

試想用戶填寫了一個超長的表單,並伴隨一個超過memory_limit的文件一起上傳,經過了漫長的等待時間之後發現等來的又是一張乾乾淨淨的空白表單,那是何等印象深刻的使用者體驗啊。更何況數十M的伺服器流量僅用來偵測檔案大小,是現在的網路環境不允許的。

透過Javascript

Javascript是基於瀏覽器的,雖然JS能完成很多看似不可能的任務,但瀏覽器做不到的事情JS同樣無法做到。先天不足注定了這份工作僅靠Javascript是無法勝任的。不過有些IE Only的方法 也還是存在的,僅作參考 。

透過Flash

Flash的FileReference類別提供了一套比較全面的檔案處理方法,現在大多數大型檔案上傳也都採用了基於Flash的方案。如果利用Flash與Js交互,能否實現客戶端對檔案大小的偵測呢?答案是可行的。

首先在flash檔案中實例化FileReference類別。

var fr = new FileReference();

基於這個類別就可以用Flash提供的file browse和SelectFile事件來取代瀏覽器的事件。我們需要:

1、綁定SelectFile

fr.addEventListener(Event.SELECT, onSelectFile);

2、創建一個供Js訪問的對象,用來放置flash得到的文件信息

var s = {
    size:0,
    name:&#39;&#39;,
    type:&#39;&#39;
}

3、創建file browse方法

function browseFile():void {<br>
    fr.browse();<br>
}

4、當SelectFile事件觸發的時候,傳遞檔案訊息

function onSelectFile(e:Event):void {<br>
    s.size = fr.size;<br>
    s.name = fr.name;<br>
    s.type = fr.type;<br>
}

5、將browseFile方法公開可供Js調用

ExternalInterface.addCallback("browseFile", browseFile);

6、將得到的檔案訊息傳遞給Js

ExternalInterface.call("onSelectFile",s);

現在我們已經可以透過Js獲得由flash傳遞來的檔案大小訊息了,具體的實現可以參看Demo 。

結論

問題至此似乎已經解決了,我們已經成功的校驗了檔案大小不是麼。但本文的最終結論是,基於Flash的檔案大小校驗,仍然不可行。

檔案大小校驗的唯一目的,是為了上傳。在上面的Demo中可以看到校驗成功的檔案名稱會顯示在一個輸入框裡。熟悉上傳的同學不覺得少了什麼嗎?沒錯,透過 flash只能得到檔案名,而無法得到檔案的完整路徑,而檔案路徑卻是input方式上傳的必要條件。所以雖然可以成功的透過Flash與Js互動校驗文 件大小,但我們能做到的也僅僅只是校驗而已,之後想要上傳,唯有繼續透過flash方式進行。

Flash開發出於安全考慮屏蔽了文件的完整路徑這無可厚非,不過文件上傳,尤其是PHP環境下的文件校驗上傳方案仍然沒有得到最好的解決。

當然彌補的方法有很多:

基於Perl的專案 FileChucker , XUpload , Uber-Uploader

基於Flash的專案 SWFUpload

還有筒子用PH。

但終究我希望有一天能看到僅基於HTML就能實現的嚴整健壯的上傳方案,但願這一天不會太遠。

最後是本次的代碼下載 。

php文件上傳大小設定詳解

用php上傳文件,問題最多的就是上傳大體積文件時發生錯誤。 這就牽涉到php的設定檔-php.ini

在這個設定檔中,有這麼多個值是跟檔案上傳有密切關係的:

file_uploads = on //是否允許系統支援檔上傳

upload_tmp_dir //臨時檔案的儲存路徑,linux下為系統預設路徑,win32下需要指定

upload_max_filesize = 2m //允許檔案上傳最大體積

post_max_size = 2m //透過post方法給php時,php所能接受給php的最大資料容量

如果你上傳的檔案體積在8m一下(通常情況),那麼修改以上設定就可以滿足你的要求了。

但要>8m,那除了上面幾個值,還要特別關注另外兩個值了:

max_execution_time = 30 //每個script所執行的最大時間(php上傳就時,體積大了,就是個時間問題)

memory_limit = 8m //每個script所能消耗的最大memory

試著把這兩個值改大些。一般就可以解決大多數問題了。

就此推斷,上傳檔案的體積是可以無窮大的。但也要考慮你的網路情況,等等。



陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn