is_uploaded_file函数引发的问题
2010-03-12 10:28
555 查看
起因
:
在利用MooPHP的一个项目中,接到用户反馈说其所有客户不能上传文件,都返回失败。经过排查发现是PHP中的is_uploaded_file函数在
捣鬼。
细节分析
:
在正常情况下,通过PHP
上传文件
,需要通过is_uploaded_file函数来判断文件是否是通过 HTTP POST
上传的,这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。
而本次遇到的问题是本来应该是C:/WINDOWS/Temp/php99.tmp这样的tmp_name,却变成了C://WINDOWS
//Temp//php99.tmp这种,导致is_uploaded_file函数返回错误的信息。
处理方式
:
在加上如下代码后,问题解决。
$file['tmp_name']
= str_replace(’////’, ‘//’, $file['tmp_name']);
注意,“////”实际字符串就是两个/,其他两个是用来表示转义的。
深入研究
:
为什么在默写特定的环境下会出现这种情况呢,我们来看如下分析:
;
Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc
= On
在PHP的默认配置中magic_quotes_gpc是On的,而打开了magic_quotes_gpc参数的PHP环境会自动对GET/POST
/Cookie添加addslashes效果。注意,并不会为$_FILES添加addslashes效果。
而当magic_quotes_gpc是Off的时候,由于为$_FILES数组添加了addslashes作用,反而出现了问题。也就在
magic_quotes_gpc是Off的PHP环境下都会出现此问题。
顺带说句,SVN上的MooPHP代码已经修复此问题。
is_uploaded_file函数解析
:
判断文件是否是通过 HTTP POST 上传的
bool
is_uploaded_file ( string $filename )
如果 filename 所给出的文件是通过 HTTP POST 上传的则返回
TRUE。这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。
这种检查显得格外重要,如果上传的文件有可能会造成对用户或本系统的其他用户显示其内容的话。
为了能使 is_uploaded_file() 函数正常工作,必段指定类似于
$_FILES['userfile']['tmp_name'] 的变量,而在从客户端上传的文件名
$_FILES['userfile']['name'] 不能正常运作。
:
在利用MooPHP的一个项目中,接到用户反馈说其所有客户不能上传文件,都返回失败。经过排查发现是PHP中的is_uploaded_file函数在
捣鬼。
细节分析
:
在正常情况下,通过PHP
上传文件
,需要通过is_uploaded_file函数来判断文件是否是通过 HTTP POST
上传的,这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。
而本次遇到的问题是本来应该是C:/WINDOWS/Temp/php99.tmp这样的tmp_name,却变成了C://WINDOWS
//Temp//php99.tmp这种,导致is_uploaded_file函数返回错误的信息。
处理方式
:
在加上如下代码后,问题解决。
$file['tmp_name']
= str_replace(’////’, ‘//’, $file['tmp_name']);
注意,“////”实际字符串就是两个/,其他两个是用来表示转义的。
深入研究
:
为什么在默写特定的环境下会出现这种情况呢,我们来看如下分析:
;
Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc
= On
在PHP的默认配置中magic_quotes_gpc是On的,而打开了magic_quotes_gpc参数的PHP环境会自动对GET/POST
/Cookie添加addslashes效果。注意,并不会为$_FILES添加addslashes效果。
而当magic_quotes_gpc是Off的时候,由于为$_FILES数组添加了addslashes作用,反而出现了问题。也就在
magic_quotes_gpc是Off的PHP环境下都会出现此问题。
顺带说句,SVN上的MooPHP代码已经修复此问题。
is_uploaded_file函数解析
:
判断文件是否是通过 HTTP POST 上传的
bool
is_uploaded_file ( string $filename )
如果 filename 所给出的文件是通过 HTTP POST 上传的则返回
TRUE。这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。
这种检查显得格外重要,如果上传的文件有可能会造成对用户或本系统的其他用户显示其内容的话。
为了能使 is_uploaded_file() 函数正常工作,必段指定类似于
$_FILES['userfile']['tmp_name'] 的变量,而在从客户端上传的文件名
$_FILES['userfile']['name'] 不能正常运作。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- is_uploaded_file函数引发的问题
- php不能上传is_uploaded_file函数引发的问题
- is_uploaded_file函数引发的不能上传文件问题
- is_uploaded_file函数引发的问题
- is_uploaded_file函数引发的不能上传文件问题
- is_uploaded_file函数引发的不能上传文件问题
- PHP的is_uploaded_file()和move_uploaded_file()函数windows环境饶过缺陷
- PHP - Manual手册 - XL. Filesystem 文件系统函数 - is_uploaded_file判断文件是否是通过 HTTP POST 上传的
- PHP学习之路之PHP文件上传需要考虑的问题以及解决方法($_FILES,$_SERVER,substr,strrpos,file_exists,move_uploaded_file,is_uploaded_file,mkdir)
- php中is_uploaded_file()函数的用法
- lamp使用php处理上传文件,调用move_uploaded_file函数遇到目录写权限问题及解决过程
- xx is not in the sudoers file 问题解决
- 由lib引发的血案(opencv找不函数问题)
- genymotion the file is corrupt 无法下载手机虚拟机问题解决办法
- xx is not in the sudoers file 问题解决【转载】
- php move_uploaded_file()函数
- iOS \'The sandbox is not sync with the Podfile.lock\'问题解决
- php移动文件的函数 move_uploaded_file()和copy
- php is_uploaded_file()函数
- Mac 安装 Genymotion 下载虚拟机出现 The file is corrupt 提示问题解决办法