如何设置最大文件上传大小并仅允许 PHP 上传某些文件类型？

Question

我做了一个 PHP 上传文件脚本。现在，我不希望人们上传巨大的文件，也不希望他们上传 PHP 文件。这是我当前的 PHP 脚本：

<?php
// Where the file is going to be placed 
$target_path = "files/";

/* Add the original filename to our target path.  
Result is "uploads/filename.extension" */
    $length = 10;
    $characters = '123456789abcdefghijklmnopqrstuvwxyz';
    $string="";
    for($p = 0; $p < $length; $p++) {
        $string .= $characters[mt_rand(0, strlen($characters))];
    }
$pos = strrpos(basename( $_FILES['uploadedfile']['name']), ".");
$ext = str_split(basename( $_FILES['uploadedfile']['name']), $pos);
$target_path = $target_path.$string.$ext[1]; 
if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {
    echo "<h2>Your file has been uploaded!</h2><br /><p>Your file has been uploaded successfully. <a href='".$target_path."'>Click here</a> to see the file you uploaded.
    <br /><br /><br />
    <h2>A link to your file</h2><br />The full link to your file is:
    <br /><br />
    <code>http://www.americaspoeticsoul.com/extras/upload/".$target_path."</code></p>";
} else{
    echo "<span class='error'>There was an error uploading the file, please try again.</span>";
}
?>

如何设置最大文件上传大小并仅允许某些文件类型，例如仅 JPEG、GIF、PNG 和 HTML 文件？

提前致谢，
内森

Answer 1

您可以使用$_FILES['uploadedfile']["size"] 检查文件大小。客户端提供的文件类型在...["type"] 中可用。

但是对于您的代码，您需要根据白名单探测 $ext 变量（仅仅寻找禁止的扩展可能不是一个好主意）：

if (in_array($ext, array("jpeg","gif","png","txt","html"))) {
    if (move_uploaded_file(...

此时，建议考虑为所有上传检查使用现​​成的帮助程序类/脚本。你的代码已经很不可读了。

Answer 2

请不要以连词开头。

一、内容：

简短的回答是您不能限制人们上传的文件类型。

更长的答案是，您可以检查人们上传的文件类型，如果不符合您的要求，则将其丢弃。请注意，检查用户提供的 mimetype 或文件扩展名并不能提供太多保护。有一个很好的问题讨论和how to solve it here。

下一个尺寸：

参见http://www.php.net/manual/en/features.file-upload.post-method.php 上的示例 #1 请注意，并非所有浏览器都尊重 MAX_FILE_SIZE 输入标签。文件大小也将受到该页面上列出的 php.ini 指令以及网络服务器上配置的请求和 POST 大小和超时的限制。

顺便说一句，您生成文件名的方法相当冗长。使用 uniqid() 可能会更快，代码更少。使用 md5_file() 将具有相同的好处并防止重复。