如何在php中保护此文件上传？

Basically this is for a simple site where admin only will upload pictures, how do i safeguard image upload here ?

        $uploaddir = "./images/";
        $uploadfile = $uploaddir . $_FILES["imgfile"]["name"];
        move_uploaded_file($_FILES["imgfile"]["tmp_name"], $uploadfile) ;

                $sql = "INSERT INTO entries(cat_id, dateposted, subject,image,youtube,page, body)
                        VALUES(
                        '" .is_int($_POST['cat']) . "'
                        , mysql_real_escape_string(NOW())
                        ,'" . mysql_real_escape_string($_POST['subject']) . "'
                        ,'" . mysql_real_escape_string($_FILES['imgfile']['name'])."'
                        ,'" . mysql_real_escape_string($_POST['youtube']) . "'
                        ,'" . mysql_real_escape_string($_POST['page']) . "'
                        ,'" . mysql_real_escape_string($_POST['body']) . "'
                        );";
                mysql_query($sql) or die(mysql_error());

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dsxz84851 2011-05-07 12:39
关注
Your forgot make chmod at uploaded (moved) file (chmod -x !)

Your need rename uploaded file, i prefer [a-z\d-_.] + timestamp()

Your need check if file size is lower than maximum, allowed

Need check against allowed extension list $est in_array($config_fileupload_allowed)

this list is longer :) i check also content of files, i.e jpeg against signature, txt against symbols, so on.

This one code allow upload test.php file with something like

<? `rm -rf /`; ?>

inside ...

PS.

mysql_real_escape_string(NOW())

this is extra, just use now(), why need escape it ...

,Arsen
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

如何在php中读取FormData文件？ jquery php
2016-04-22 04:41

回答 3 已采纳 You can try loop through this 3 level associate array with a for loop: if(isset($_FILES['8_modem_
如何在.js文件中使用php数组值？ jquery php
2019-03-13 09:46

回答 1 已采纳 What you need is to find a common format which both languages can understand, the most commonly us
如何在PHP中显示来自SQL文件的信息？ php sql
2018-01-16 02:10

回答 2 已采纳 The only way to do that reliably is to either import the SQL file into a database and query the da
php+ajax导入大数据时产生的问题处理
2020-12-18 13:06

我先把文件上传上去，然后把文件存到一个特定的文件夹就叫 import吧，然后返回一个这个文件名字。这样就确保了文件是上传成功的。并且我可以在他返回名字的这一步用js 给客户一个提示。然后就是ajax去请求php读取...
php上传文件后改名移动的问题？ php
2017-06-14 06:26

回答 3 已采纳 ``` ``` //有上传文件时 if (empty($_FILES) === false) { //原文件名 $file_name = $_FILES['imgFile'
php 7.1中的php.ini文件在哪里？ php
2017-02-13 09:21

回答 2 已采纳 Just copy php.ini-development or php.ini-production as new file named php.ini. Edit the options an
图中网址在ｆｔｐ哪个文件？ php 有问必答
2022-01-13 19:04

回答 1 已采纳通过网页代码是不能看不出文件所在路径的。
大数据基础课01 如何在庞大的大数据体系中明确路径？
2022-10-10 22:37

办公模板库素材蛙的博客这一讲，我们以天气预报的变化为例，讲解了大数据的特点及工作环节。经过这一讲的介绍，我希望你对什么是...当然，尤其对于我们这些在互联网行业摸爬滚打的人，大数据切切实实地在我们的工作中占据着举足轻重的地位。
PHP可以在两个文件中嵌套类吗？ php
2016-11-08 14:01

回答 2 已采纳 require_once does not include the code from the other class right on the spot. The behavior of req
在浏览器中查看php文件？ php
2015-11-14 12:55

回答 2 已采纳 Either of this work for you.. localhost/database/ 127.0.0.1/database/ By default, it will look
php的过滤代码一般写在哪个文件？怎么找？ php web安全有问必答网络安全
2022-10-18 14:17

回答 2 已采纳核心文件混淆过的。。。没搞头。。过滤有输出什么特别的内容吗？用Dreamweaver之类的编辑软件搜索下输出内容看是否找得到匹配的内容。。
PHP代码中是如何实现文件上传的？
2018-12-24 11:06

想学习大数据的博客这里使用PHP的全局数组$_FILES来实现文件上传： $_FILES[“file”][“name”] - 被上传文件的名称 $_FILES[“file”][“type”] - 被上传文件的类型 $_FILES[“file”][“size”] - 被上传文件的大小，以字节计 $_...
PHP如何接收APP上传的文件？ android php
2021-05-21 05:49

回答 4 已采纳 <?php $data = file_get_contents("php:://input"); var_dump($data); 试试
phpexcel导入excel处理大数据(实例讲解)
2020-12-20 00:21

现在上传到指定的目录，然后加载上传的excel文件读取这里读取是的时候不转换数组了。注意：是Sheet可以多个读取，php上传值要设置大，上传超时要设置长。 header('Content-type: text/html; charset=utf-8'); //...
php上传csv导入,CSV文件导入
2021-04-29 06:52

如椽巨笔的博客数据导入csv导入最简单下面以抽奖用户导入为案例/*** CSV抽奖用户导入*/public function userwrite(){// 获取表单上传文件$file = request()->file('csvfile');/*echo "";var_dump($file);die;*/if(empty($file))...
没有解决我的问题, 去提问

悬赏问题

¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度
¥30 关于#r语言#的问题：如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测
¥15 ETLCloud 处理json多层级问题
¥15 matlab中使用gurobi时报错
¥15 这个主板怎么能扩出一两个sata口
¥15 不是，这到底错哪儿了😭
¥15 2020长安杯与连接网探
¥15 关于#matlab#的问题：在模糊控制器中选出线路信息，在simulink中根据线路信息生成速度时间目标曲线（初速度为20m/s，15秒后减为0的速度时间图像）我想问线路信息是什么

如何在php中保护此文件上传？

1条回答 默认 最新

悬赏问题

1条回答默认最新