Sicurezza con l'upload di file

**giannino1995** · 21-05-2014, 20:14

Quando faccio l'upload di un file il mio libro di testo mi dice di scrivere questo:

Codice PHP:


        if (!is_uploaded_file($_FILES['upload']['tmp_name'])) {
            $error = 'Non ci sono file caricati.';
            include $_SERVER['DOCUMENT_ROOT'] . '/filestorecms_includes/error.html.php';
            exit();
        }

...

copy($uploadfile, $url);

per proteggersi dall'inserimento di file non lanciato tramite form. Se per esigenze di programmazione scrivessi questo:

Codice PHP:


    if (file_exists($_FILES['upload']['tmp_name'])) {
        if (!is_uploaded_file($_FILES['upload2']['tmp_name'])) {
            $error = 'Non ci sono file caricati.';
            include $_SERVER['DOCUMENT_ROOT'] . '/filestorecms_includes/error.html.php';
            exit();
        }

...

copy($uploadfile, $url);

Sono comunque tutelato in quanto copy sta sempre dopo is_uploaded_file(), giusto?

**giannino1995** · 22-05-2014, 22:29

Nessuno sa dirmi nulla?

**mabullo** · 23-05-2014, 09:41

Ciao,
forse è un refuso che ti è sfuggito, ma dopo il codice

Codice PHP:


if (file_exists($_FILES['upload']['tmp_name'])) {

hai usato

Codice PHP:


$_FILES['upload2']

Così scritto può dare errori, prima usi upload e poi upload2.

**Alhazred** · 23-05-2014, 11:51

Invece di usare copy() usa move_uploaded_file().

**giannino1995** · 23-05-2014, 21:59

Originariamente inviata da Alhazred

Invece di usare copy() usa move_uploaded_file().

move_uploaded_file() permette di non usare is_uploaded_file() per verificare la bontà di un upload?
in merito al mio quesito che mi dici?

**giannino1995** · 23-05-2014, 22:00

Originariamente inviata da mabullo

Ciao,
forse è un refuso che ti è sfuggito, ma dopo il codice

Codice PHP:


if (file_exists($_FILES['upload']['tmp_name'])) {

hai usato

Codice PHP:


$_FILES['upload2']

Così scritto può dare errori, prima usi upload e poi upload2.

Si lo so grazie per la premura, ho copiato il codice in 2 punti diversi.

**ciro78** · 23-05-2014, 23:01

Originariamente inviata da giannino1995

move_uploaded_file() permette di non usare is_uploaded_file() per verificare la bontà di un upload?
in merito al mio quesito che mi dici?

consiglio: la documentazione ufficiale è al 99% più efficace del forum.

D:move_uploaded_file() permette di non usare is_uploaded_file() per verificare la bontà di un upload?
R: come la documentazione suggerisce puoi usare solo il primi

D:usare copy è sicuro dopo l'uso delle due funzioni?
R: come consigliato è più prudente usare move_uploaded_file. sei sicuro che sposti sempre e solo file caricati attraverso post

Discussione: Sicurezza con l'upload di file

Strumenti discussione

Ricerca discussione

Visualizza

Sicurezza con l'upload di file

Permessi di invio