Добре дошли!

Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

Валидация на файл при upload

Нова тема

22 януари 201610 г.

Здравейте.

Имам една upload форма, която позволява да се качват или .zip или .rar файлове. Направил съм проверка за вида на файла, разширението му както и големината. Но също така качва и произволен файл е сменено разширение на .zip или .rar. Как мога да проверя дали са истински .zip или .rar файлове или са преобразувани?

Цитирай

23 януари 201610 г.

Валидирай по mime type. Имаш няколко варианта, разгледай mime_content_type finfo_file , другия вариант е да викаш примерно "file -bi filename.{ext}", като го пуснеш през system() (това обаче не е portable решение, и не забравяй ако го ползваш да ползваш и escapeshellcmd примерно).

Иначе можеш да разгледаш mime типовете в /etc/mime.types или примерно online https://svn.apache.org/repos/asf/httpd/httpd/trunk/docs/conf/mime.types

Има и някой други неща за upload-а на файлове, които зависят повече от настройката на web server-a, който ги hande-ва Има доста информация в интернет, прочети малко по темата.

Цитирай

25 януари 201610 г.

Автор

Здравей.

Правя проверки на файла по mime type и по разширението му. Проблема идва ако самия файл е с ръчно променено разширение. Като му се смени разширението се сменява и mime type и разширението. Въпроса ми беше дали има начин да се хване точно това. Смисъл дали са истински рарове/зипове или са такива файлове които са преобразувани.

Ето го и кода където използвам

$errors = "";
$success = "";

$accepted_types = array(
    'application/zip',
    'application/x-zip-compressed',
    'multipart/x-zip',
    'application/x-compressed',
    'application/x-rar-compressed',
);

if (isset($_FILES['userfile'])) {

    $file_name = $_FILES['userfile']['name'];
    $file_size = $_FILES['userfile']['size'];
    $file_tmp = $_FILES['userfile']['tmp_name'];
    $file_type = $_FILES['userfile']['type'];
    $file_exp = strtolower(end(explode('.', $_FILES['userfile']['name'])));

    $expension = array("rar", "zip");

    if (in_array($file_exp, $expension) === FALSE) {
        $errors .= 'Файлът не може да бъде качен. Моля, качи 1 архивиран файл във формат .zip, .rar!';
    }
    
    if (in_array($file_type, $accepted_types) === FALSE){
        $errors .= 'Файлът не е от тип .zip или .rar. Моля, качи 1 архивиран файл във формат .zip, .rar!';
    }

    if (empty($errors) == true) {
        move_uploaded_file($file_tmp, 'files/' . $file_name);
        
        $success = "Благодарим ти!<br /><br />
            Успешно качи своя файл.<br />";
    }
}

Цитирай

25 януари 201610 г.

Погледни какво съм ти писал.

Никога не проверявай mime type който взимаш от $_FILE това идва от потребителя и не можеш да разчиташ на него!

Цитирай

25 януари 201610 г.

Автор

ОК. Благодаря сега ще го мисля пак по насоките ти.

Цитирай

Архивирана тема

Темата е твърде стара и е архивирана. Не можете да добавяте нови отговори в нея, но винаги можете да публикувате нова тема, в която да продължи дискусията. Регистрирайте се или влезте във вашия профил за да публикувате нова тема.