Gestire i caricamenti di file
Questa caratteristica permette di caricare sia file di testo che binari. Utilizzando le funzioni di PHP per l'autenticazione e manipolazione dei file, è possibile avere pieno controllo su chi ha i permessi per caricare un file e su ciò che deve essere fatto una volta che il file è stato caricato.
Il PHP è in grado di ricevere upload di file da qualsiasi browser compatibile con la RFC-1867.
php.ini
Si noti che PHP permette l'upload di file con metodo PUT come utilizzato dai programmi Netscape Composer e W3C Amaya. Si veda Supporto per metodo PUT per maggiori dettagli.
Form di caricamento file
La schermata di caricamento di un file può essere costruita con una form
particolare, di questo tipo:
<!-- Tipo di codifica dei dati, DEVE essere specificato come segue -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
<!-- MAX_FILE_SIZE deve precedere campo di input del nome file -->
<input type="hidden" name="MAX_FILE_SIZE" value="30000" />
<!-- Il nome dell'elemento di input determina il nome nell'array $_FILES -->
Send this file: <input name="userfile" type="file" />
<input type="submit" value="Send File" />
</form>
L'__URL__ dell'esempio precedente deve essere sostituito
con il puntamento ad un file PHP.
Il campo nascosto MAX_FILE_SIZE (misurato in byte) deve precedere
il campo di input del file, ed il suo valore indica la dimensione massima di file accettata.
Questa è un'informazione per il browser, ma anche il PHP lo verifica.
E' facile aggirare questa impostazione sul browser,
quindi non fate affidamento sul fatto che il navigatore si comporti come desiderato!
L'impostazione PHP lato server per la dimensione massima non può comunque essere aggirata.
Tuttavia si può comunque inserire
MAX_FILE_SIZE per evitare all'utente di attendere il trasferimento di un file
prima di scoprire che è di dimensioni eccessive.
enctype="multipart/form-data"
altrimentio non funzionerà.
La variabile globale $ _FILES conterrà tutte le informazioni sul file caricato.
Il suo contenuto dal form di esempio è il seguente. Notare che ciò presuppone l'uso del
nome del file caricato userfile, come usato nello script
di esempio di sopra. Esso può usare qualsiasi nome.
$_FILES['userfile']['name']
Il nome originale del file sulla macchina dell'utente.
$_FILES['userfile']['type']
Il mime-type del file, se il browser fornisce questa
informazione. Un esempio potrebbe essere
"image/gif". Questo mime type comunque
non è controllato sul lato PHP e quindi non ci si deve fidare
di questo valore.
$_FILES['userfile']['size']
La dimensione, in bytes, del file caricato.
$_FILES['userfile']['tmp_name']
Il nome del file temporaneo in cui il file caricato è salvato
sul server.
$_FILES['userfile']['error']
Il codice di errore
associato all'upload di questo file.
I file sono, di default, salvati in una directory temporanea
sul server, a meno che un diverso percorso sia specificato nella direttiva upload_tmp_dir nel file
php.ini. La directory del server predefinita può essere
cambiata impostando la variabile di ambiente
TMPDIR in cui è in esecuzione PHP.
Non è possibile impostare questa variabile utilizzando
la funzione putenv da uno script PHP.
Questa variabile di ambiente può anche essere usata per assicurarsi che
anche altre operazioni stiano lavorando sui file caricati.
Verifica dell'upload di file
Si vedano le definizioni delle funzioni is_uploaded_file e
move_uploaded_file per maggiori dettagli.
L'esempio seguente illustra il processamento di un file inviato tramite un form.
<?php
$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "Possibile attacco tramite file upload!\n";
}
echo 'Alcune informazioni di debug:';
print_r($_FILES);
print "</pre>";
?>
Lo script PHP che riceve il file caricato dovrebbe implementare la logica necessaria per determinare cosa deve essere fatto con il file caricato. E' possibile, per esempio, utilizzare la variabile $_FILES['userfile']['size'] per eliminare file che siano troppo grandi o troppo piccoli. È possibile utilizzare la variabile $_FILES['userfile']['type'] per eliminare tutti i file che non soddisfano certi criteri, ma si utilizzi questo metodo solo come il primo di una serie di controlli, poiché il valore è completamente sotto il controllo del client e non è controllato dal lato PHP. Inoltre, si può utilizzare $_FILES['userfile']['error'] ed organizzare la logica in base ai codici di errore. Quale che sia la logica, bisognerebbe comunque sempre cancellare il file dalla directory temporanea e spostarlo da qualche altra parte.
Se non si è selezionato alcun file per l'upload, il PHP restituirà $_FILES['userfile']['size'] a 0, e $_FILES['userfile']['tmp_name'] vuoto.
Il file sarà eliminato dalla directory temporanea al termine della richiesta se non è stato mosso e rinominato.
Upload di una serie di file
Il PHP supporta le matrici HTML anche con i file.
<form action="" method="post" enctype="multipart/form-data">
<p>Pictures:
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="submit" value="Send" />
</p>
</form>
<?php
foreach ($_FILES["pictures"]["error"] as $key => $error) {
if ($error == UPLOAD_ERR_OK) {
$tmp_name = $_FILES["pictures"]["tmp_name"][$key];
// basename() può impedire attacchi di attraversamento del filesystem;
// un'ulteriore convalida/sanificazione del nome del file può essere appropriata
$name = basename($_FILES["pictures"]["name"][$key]);
move_uploaded_file($tmp_name, "data/$name");
}
}
?>
Un indicatore di progressione del caricamento può essere implementato usando Progressione di un caricamento in Sessione.
PHP restituisce un codice di errore nella matrice del file.
Il codice di errore si trova nell'indice error
e viene valorizzato durante
l'upload del file da parte del PHP. In altre parole l'errore può essere
trovato in $_FILES['userfile']['error'].
UPLOAD_ERR_OK
Valore: 0; Non vi sono errori, l'upload è stato eseguito con successo.
UPLOAD_ERR_INI_SIZE
Valore: 1; Il file inviato eccede le dimensioni specificate nel parametro
upload_max_filesize
di php.ini.
UPLOAD_ERR_FORM_SIZE
Valore: 2; Il file inviato eccede le dimensioni specificate
nel parametro MAX_FILE_SIZE del form.
UPLOAD_ERR_PARTIAL
Valore: 3; Upload eseguito parzialmente.
UPLOAD_ERR_NO_FILE
Valore: 4; Nessun file è stato inviato.
UPLOAD_ERR_NO_TMP_DIR
Valore: 6; Mancanza della cartella temporanea. Introdotto in PHP 5.0.3.
UPLOAD_ERR_CANT_WRITE
Valore: 7; Erroe di scrittura su disco. Inserito in PHP 5.1.0.
UPLOAD_ERR_EXTENSION
Valore: 8; n'estensione di PHP ha interotto il caricamento. PHP non
fornisce un modo per capire quale estensione ha causato l'interruzione del
caricamento; esaminare l'elenco delle estensioni caricate con phpinfo può essere d'aiuto.
Introdotto in PHP 5.2.0.
La voce MAX_FILE_SIZE non può specificare una dimensione del
file maggiore di quella impostata dal parametro upload_max_filesize del
file php.ini. L'impostazione di default è 2 megabytes.
Se si è impostato un limite di memoria memory_limit può essere necessario ampliarlo. Occorre essere certi di impostare memory_limit alle dimensioni appropriate.
Se max_execution_time
è impostato ad un valore basso, l'esecuzione dello script può eccedere tale valore.
Ampliare max_execution_time ad un tempo sufficiente per l'upload.
60 seconds può essere sforato.
Se post_max_size è impostato ad un valore
troppo piccolo, non si può inviare file di grosse dimensioni.
Impostare post_max_size alle dimensioni appropriate.
Da PHP 5.2.12, il parametro di configurazione
max_file_uploads
controlla il numeo massimo di file che possono essere caricati in una singola
richiesta. Se sono caricati più file del limite fissato, allora
$_FILES smetterà di processare i file una volta che il
limite è raggiunto. Per esempio, se
max_file_uploads è impostato a
10, allora $_FILES non conterrà mai
più di 10 elementi.
Non controllare il file su cui si sta operando potrebbe dare agli utenti accesso a informazioni sensibili contenute in altre directory.
Si noti che che il server CERN httpd sembra eliminare qualsiasi cosa a partire dal primo spazio nell'header mime content-type che riceve dal client. Fino a che questo si verificherà, il server CERN httpd non supporterà la possibilità di caricare file.
A causa della varietà di formati di directory, non si è in grado di garantire che nomi di file strani (ad esempio contenenti spazi) siano gestiti correttamente.
Un sviluppatore non può mischiare normali campi di input con campi di upload di file con lo
stesso nome di campo (utilizzando nomi tipo foo[]).
È possibile inviare più file contemporanemante utilizzando differenti
attributi name i per input.
E' possibile caricare più file contemporaneamente e avere le informazioni organizzate automaticamente in array. Per questo è necessario utilizzare la medesima sintassi di invio di array da form HTML che è utilizzata con select e checkbox multipli:
Caricamento di più file <form action="file-upload.php" method="post" enctype="multipart/form-data"> Send these files:<br /> <input name="userfile[]" type="file" /><br /> <input name="userfile[]" type="file" /><br /> <input type="submit" value="Send files" /> </form>
Quando la form è inviata, gli array $_FILES['userfile'], $_FILES['userfile']['name'], e $_FILES['userfile']['size'] saranno inizializzati.
Per esempio, si supponga che i nomi di file /home/test/review.html e /home/test/xwp.out siano inviati. In questo caso, $_FILES['userfile']['name'][0] conterrebbe il valore review.html, e $_FILES['userfile']['name'][1] conterrebbe il valore xwp.out. Analogamente, $_FILES['userfile']['size'][0] conterrebbe la dimensione di review.html, e così via.
$_FILES['userfile']['name'][0], $_FILES['userfile']['tmp_name'][0], $_FILES['userfile']['size'][0], e $_FILES['userfile']['type'][0] sono ugualmente impostati.
PHP fornisce supporto per il metodo HTTP PUT utilizzato da alcuni client per caricare i file sul server. Le richieste PUT sono molto più semplici rispetto al caricamento di un file attraverso POST, e assomigliano a PUT /percorso/nomefile.html HTTP/1.1
Questo significa che normalmente il programma remoto intende salvare il contenuto della richesta come : /path/filename.html nel filesystem sul server web. Non è ovviamente una buona idea per Apache o PHP lasciare a un qualsiasi utente la possibilità di sovrascrivere file sul server web. Quindi, per gestire questa richiesta si deve chiedere al server web che si vuole che sia un certo script PHP a gestire la richiesta stessa. In Apache si ottiene questo con la direttiva Script. Può essere posta quasi ovunque nel file di configurazione di Apache. Un posto frequente è all'interno di un blocco LtDirectoryGt oppurte all'interno del blocco LtVirtualhostGt. Un linea come la seguente è sufficiente: Script PUT /put.php
Questo chiede ad Apache di inviare tutte le richieste PUT che soddisfano il contesto in cui si è inserito questo comando allo script put.php. Questo richiede, naturalmente, che sia abilitato PHP per l'estensione .php e che PHP sia attivo. La risorsa di destinazione per tutte le richieste PUT verso questo script deve essere lo script stesso, non in nome di file che si desidera caricare.
All'interno del file put.php si può inserire qualcosa simile al seguente esempio. Questo copia il contenuto del file caricato verso il file myputfile.ext sul server. È consigliabile attuare dei controlli e/o autenticare l'utilizzatore prima di eseguire la copia del file.
Registrare i file ricevuti con HTTP PUT <?php /* i dati PUT arrivano sull stream stdin */ $putdata = fopen("php://input", "r"); /* Apre il file in scrittura */ $fp = fopen("myputfile.ext", "w"); /* Legge i dati 1 KB alla volta e scrive sul file */ while ($data = fread($putdata, 1024)) fwrite($fp, $data); /* Chiude gli stream */ fclose($fp); fclose($putdata); ?>