is_uploaded_file函数引发的不能上传文件问题

 更新时间:2013年10月29日 16:20:11   作者:  
不能上传文件,都返回失败。经过排查发现是PHP中的is_uploaded_file函数在捣鬼,下面是具体的处理方法,有类似情况的朋友可以参考下
起因:

在一个项目中,接到用户反馈说其所有客户不能上传文件,都返回失败。经过排查发现是PHP中的is_uploaded_file函数在捣鬼。

细节分析:

在正常情况下,通过PHP 上传文件 ,需要通过is_uploaded_file函数来判断文件是否是通过 HTTP POST 上传的,这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。
而本次遇到的问题是本来应该是C:/WINDOWS/Temp/php99.tmp这样的tmp_name,却变成了C://WINDOWS //Temp//php99.tmp这种,导致is_uploaded_file函数返回错误的信息。

处理方式:

在加上如下代码后,问题解决。
$file['tmp_name'] = str_replace('////', ‘//', $file['tmp_name']);
注意,“////”实际字符串就是两个/,其他两个是用来表示转义的。

深入研究:

为什么在默写特定的环境下会出现这种情况呢,我们来看如下分析:
; Magic quotes for incoming GET/POST/Cookie data.
magic_quotes_gpc = On
在PHP的默认配置中magic_quotes_gpc是On的,而打开了magic_quotes_gpc参数的PHP环境会自动对GET/POST /Cookie添加addslashes效果。注意,并不会为$_FILES添加addslashes效果。
而当magic_quotes_gpc是Off的时候,由于为$_FILES数组添加了addslashes作用,反而出现了问题。也就在 magic_quotes_gpc是Off的PHP环境下都会出现此问题。

顺带说句,SVN上的MooPHP代码已经修复此问题。

is_uploaded_file函数解析:

判断文件是否是通过 HTTP POST 上传的
bool is_uploaded_file ( string $filename )
如果 filename 所给出的文件是通过 HTTP POST 上传的则返回 TRUE。这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。 这种检查显得格外重要,如果上传的文件有可能会造成对用户或本系统的其他用户显示其内容的话。

为了能使 is_uploaded_file() 函数正常工作,必段指定类似于 $_FILES['userfile']['tmp_name'] 的变量,而在从客户端上传的文件名 $_FILES['userfile']['name'] 不能正常运作。

相关文章

  • php对数组内元素进行随机调换的方法

    php对数组内元素进行随机调换的方法

    这篇文章主要介绍了php对数组内元素进行随机调换的方法,通过自定义函数实现对数组内元素进行随机调换的功能,涉及php操作数组的相关技巧,需要的朋友可以参考下
    2015-05-05
  • 使用php语句将数据库*.sql文件导入数据库

    使用php语句将数据库*.sql文件导入数据库

    这篇文章主要介绍了如何使用php语句将数据库*.sql文件导入数据库,需要的朋友可以参考下
    2014-05-05
  • php中使用explode查找某个字符是否存在的方法

    php中使用explode查找某个字符是否存在的方法

    为了使输入方便,减少在装修编辑模块的时候出现太多的文字框,需要用到在一个框内输入两三种不同内容,然后再使用一些特殊字符来分隔开,用explode来建立一组数据的方法。
    2011-07-07
  • PHP SQLite类

    PHP SQLite类

    PHP SQLite类代码。
    2009-05-05
  • php中使用websocket详解

    php中使用websocket详解

    网上也有一些关于php的websocket的实现,但是只有自己亲手写过之后才知道其中的感受。下面就把个人的一些心得给大家分享下
    2016-09-09
  • 详解Laravel制作API接口

    详解Laravel制作API接口

    API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。本文将详细介绍Laravel制作API接口。
    2021-05-05
  • PHP实现通过get方式识别用户发送邮件的方法

    PHP实现通过get方式识别用户发送邮件的方法

    这篇文章主要介绍了PHP实现通过get方式识别用户发送邮件的方法,涉及php针对数据库的读取、判断及session登陆的使用技巧,需要的朋友可以参考下
    2015-07-07
  • php实现接口api数据签名及验签

    php实现接口api数据签名及验签

    api数据签名作用就是通过使用签名可以验证数据在传输过程中是否被篡改或修改,下面小编就来为大家介绍一下php如何实现接口api数据签名及验签吧
    2023-11-11
  • php调用mysql存储过程实例分析

    php调用mysql存储过程实例分析

    这篇文章主要介绍了php调用mysql存储过程,综合各种常见实例分析了php调用mysql存储过程的各种常见操作与使用技巧,具有一定的参考借鉴价值,需要的朋友可以参考下
    2014-12-12
  • PHP的Yii框架中YiiBase入口类的扩展写法示例

    PHP的Yii框架中YiiBase入口类的扩展写法示例

    这篇文章主要介绍了PHP的Yii框架中YiiBase入口类的扩展写法示例,同时详细讲解了import和autoload这两个YiiBase中的重要方法,需要的朋友可以参考下
    2016-03-03

最新评论