PHP文件上傳源碼分析_第1頁(yè)
PHP文件上傳源碼分析_第2頁(yè)
PHP文件上傳源碼分析_第3頁(yè)
PHP文件上傳源碼分析_第4頁(yè)
PHP文件上傳源碼分析_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、PHP文件上傳源碼分析文件上傳,一般分為倆種方式FTP和,對(duì)于我們的互聯(lián)網(wǎng)應(yīng)用來(lái)說(shuō):FTP上傳雖然傳輸穩(wěn)定,但是易用性和安全性都是個(gè)問(wèn)題.你總不至于在用戶要上傳頭像的時(shí)候告訴用戶”請(qǐng)打開FTP客戶端,上傳文件到.laruence./uploads/中,并以2dk433423l.jpg命名”吧?基于的上傳,相對(duì)來(lái)說(shuō)易用性和安全性上就比FTP要增強(qiáng)了很多.可以應(yīng)用的上傳方式有PUT,WEBDAVJRFC186E種,本文將分析在PHP中,是如何基于RFC186殯現(xiàn)文件上傳的.RFC1867RCF1867是Form-basedFileUploadinHTML標(biāo)準(zhǔn)協(xié)議,RFC1867標(biāo)準(zhǔn)對(duì)HTML故出了

2、兩處修改:1為input元素的type屬性增加了一個(gè)file選項(xiàng)。2input標(biāo)記可以具有aept屬性,該屬性能夠指定可被上傳的文件類型或文件格式列表。另外,本標(biāo)準(zhǔn)還定義了一種新的mime類型:multipart/form-data,以及當(dāng)處理一個(gè)帶有enctype=”multipart/form-data”并且/或含有的標(biāo)記的表單時(shí)所應(yīng)該采取的行為。舉例來(lái)說(shuō),當(dāng)HTML®讓用戶能夠上傳一個(gè)或更多的文件時(shí),他可以這么寫:選擇文件:文件描述:這個(gè)表單,大家一定不陌生,而對(duì)于PH陳說(shuō),它自己另外定義了一個(gè)默認(rèn)表單元素MAX_FILE_SIZE用戶可以通過(guò)這個(gè)隱藏的表單元素來(lái)建議PHPM多

3、只容許上傳文件的大小,比如對(duì)于上面的例子,我們希望用戶上傳的文件不能大于5000(5k)字節(jié),那么可以如下寫:選擇文件:文件描述:姑且不說(shuō),這個(gè)MAX_FILE_SIZ匿多么的不可靠(所以基于瀏覽器的控制,都是不可靠的),我們單純從實(shí)現(xiàn)來(lái)介紹這個(gè)MAX_FILE_SIZ匿如何起作用的.當(dāng)用戶選擇了一個(gè)文件(xxxx.txt),并填寫好文件描述,點(diǎn)擊上傳后,發(fā)生了什么呢?表單提交在用戶確定提交以后,瀏覽器會(huì)根據(jù)用戶選擇的輸入,讀取要上傳的文件,連同表單中的其他元素,組織成一定格式(如下)的數(shù)據(jù)發(fā)送到form中action屬性指定的頁(yè)面(在本例中是upload.php):/請(qǐng)求頭POST/uplo

4、ad.php/1.0.Host:.laruenceContent-length:xxxxx.Content-type:multipart/form-data,boundary=7d51863950254開始POS改據(jù)內(nèi)容-7d51863950254content-disposition:form-data;name="description"laruence的個(gè)人介紹-7d51863950254content-disposition:form-data;name="userfile;filename="laruence.txt"Content-

5、Type:text/plain.laruence.txt的內(nèi)容.-7d51863950254-接下來(lái),就是服務(wù)器,是如何處理這些數(shù)據(jù)了.接受上傳當(dāng)Web服務(wù)器,此處假設(shè)為Apache(另外假設(shè)PHPM以module方式安裝在Apache上的),接受到用戶的數(shù)據(jù)時(shí),首先它根據(jù)請(qǐng)求頭,通過(guò)確定MIMETYPEPH陵型,然后經(jīng)過(guò)一些過(guò)程以后,最終會(huì)把控制權(quán)交給PHPJI塊.這個(gè)時(shí)候,PHP會(huì)調(diào)用sapi_activate來(lái)初始化一個(gè)請(qǐng)求,在這個(gè)過(guò)程中,首先判斷請(qǐng)求類型,此時(shí)是POST從而去調(diào)用sapi_read_post_data,通過(guò)Content-type,找到rfc1867的處理函數(shù)rfc18

6、67_post_handler,從而調(diào)用這個(gè)handler,來(lái)分析POS球的數(shù)據(jù).關(guān)于rfc1867_post_handler這部分的源代碼,可以在mian/rfc1867.c找到,其中也列出的源代碼.然后,PHP通過(guò)boundary,對(duì)于每一個(gè)分段,都通過(guò)檢查,是否同時(shí)定義了:name和filename屬性(有名文件上傳)沒(méi)有定義name定義了filename(無(wú)名上傳)定義了name沒(méi)有定義filename(普通數(shù)據(jù)),從而進(jìn)行不同的處理if(cd=php_mime_get_hdr_value(header,"Content-Disposition")char*pair

7、=NULL;intend=0;while(isspace(*cd)+cd;while(*cd&&(pair=php_ap_getword(&cd,'')char*key=NULL,*word=pair;while(isspace(*cd)+cd;if(strchr(pair,'=')key=php_ap_getword(&pair,'=');if(!strcasecmp(key,"name")/獲取name字段if(param)efree(param);param=php_ap_getword_

8、conf(&pairTSRMLS_CC);elseif(!strcasecmp(key,"filename")/獲取filename字段if(filename)efree(filename);filename=php_ap_getword_conf(&pairTSRMLS_CC);if(key)efree(key);efree(word);在這個(gè)過(guò)程中,PHP會(huì)去檢查普通數(shù)據(jù)中,是否有MAX_FILE_SIZE./*Normalformvariable,safetoreadalldataintomemory*/if(!filename&&pa

9、ram)unsignedintvalue_len;char*value=multipart_buffer_read_body(mbuff,&value_lenTSRMLS_CC);unsignedintnew_val_len;/*Dummyvariable*/if(!strcasecmp(param,"MAX_FILE_SIZE")max_file_size=atol(value);efree(param);efree(value);continue;有的話,就會(huì)按照它的值來(lái)檢查文件大小是否超出.if(PG(upload_max_filesize)>0&

10、;&total_bytes>PG(upload_max_filesize)cancel_upload=UPLOAD_ERROR_A;elseif(max_file_size&&(total_bytes>max_file_size)#ifDEBUG_FILE_UPLOADsapi_module.sapi_error(E_NOTICE,"MAX_FILE_SIZEof%ldbytesexceeded-file%s=%snotsaved",max_file_size,param,filename);#endifcancel_upload=UPL

11、OAD_ERROR_B;通過(guò)上面的代碼,我們也可以看到,判斷分為倆部,第一部分是檢查PH讖認(rèn)的上傳上限.第二部分才是檢查用戶自定義的MAX_FILE_SIZE所以表單中定義的MAX_FILE_SIZ/不能超過(guò)PH沖設(shè)置的最大上傳文件大小.通過(guò)對(duì)name和filename的判斷,如果是文件上傳,會(huì)根據(jù)php的設(shè)置,在文件上傳目錄中創(chuàng)建一個(gè)隨機(jī)名字的臨時(shí)文件:if(!skip_upload)/*Handlefile*/fd=php_open_temporary_fd_ex(PG(upload_tmp_dir),"php",&temp_filename,1TSRMLS_C

12、C);if(fd=-1)sapi_module.sapi_error(E_WARNING,"Fileuploaderror-unabletocreateatemporaryfile");cancel_upload=UPLOAD_ERROR_E;返回文件句柄,和臨時(shí)隨機(jī)文件名.之后,還會(huì)有一些驗(yàn)證,比如文件名合法,name合法等.如果這些驗(yàn)證都通過(guò),那么就把內(nèi)容讀入,寫入到這個(gè)臨時(shí)文件中.elseif(blen>0)wlen=write(fd,buff,blen);/寫入臨時(shí)文件.if(wlen=-1)/*writefailed*/#ifDEBUG_FILE_UPLOADsapi_module.sapi_error(E_NOTICE,"write()failed-%s",strerror(errno);#endifcancel_upload=UPLOAD_ERROR_F;當(dāng)循環(huán)讀入完成后,關(guān)閉臨時(shí)文件句柄.記錄臨時(shí)變量名:zend_hash_add(SG(rfc1867_uploaded_files),temp_filename,strlen(temp_filename)+1,&temp_filename,sizeof(char*),NULL);并且生成F

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論