php上傳文件介面
第一種:使用html自帶的file控制項,然後後台通過php提交到伺服器
第二種:使用php自帶的ftp函數上傳到伺服器~
B. PHP 大文件上傳,支持斷點續傳,求具體方案、源碼或者文件上傳插件
HTTP協議里, 對斷點下載有支持.
斷點上傳單純靠PHP 是做不了的.
因為普通的瀏覽器端沒那功能.(上傳的時候 還是會整個文件編碼發送)
想實現的話 , 客戶端需要插件了,
客戶端可以使用flex實現. 服務端, PHP可以寫個webservice 接受文件.
C. php中上傳文件的方法有多少種
一、傳統的php寫的上傳類。
寫一個php的上傳類,這個方法用到的知識全部是php的,而且技術的難點也不多。
<form method="post" action="upload.php" enctype="multipart/form-data">
<table border=0 cellspacing=0 cellpadding=0 align=center width="100%">
<input type="hidden" name="MAX_FILE_SIZE" value="2000000">//隱藏域。這里name必須設置成MAX_FILE_SIZE,其值就是上傳文件的最大長度,單位是B,這里我限製成2M
<input name="file" type="file" value="瀏覽" >
< input type="submit" value="上傳" name="B1">
</table>
</form>
服務端利用php的$_FILES['file']['name']來獲取文件後綴名,具體的代碼自己查找資料看看,這里就不多說了。
總結;這個方法可以用來上傳小於2M的文件或者是圖片,基本的功能可以實現。
二、利用uploadify插件
這個是利用jQuery的上傳插件,上傳可以帶進度條,容易配置。
總結:可以上傳一些大文件,和圖片,而且帶進度條,可以多文件上傳,在WEB中會經常用。
三、利用網路的webupload
WebUploader 是由 Bai FEX 團隊開發的一款以 HTML5 為主,FLASH 為輔的現代文件上傳組件。在現代的瀏覽器裡面能充分發揮 HTML5 的優勢,同時又不摒棄主流IE瀏覽器,沿用原來的 FLASH 運行時,兼容 IE6+,iOS 6+, Android 4+。採用大文件分片並發上傳,極大的提高了文件上傳效率。
四、swfupload的插件
這是一個jquery的上傳插件,功能也非常強大,開發也比較容易,網上有很多的資料,可以自行查找。
D. 用php做這種上傳文件頁面並且在頁面中能顯示已經上傳的文件該怎麼做
1 上傳文件的前端頁面
<form enctype="multipart/form-data" action="伺服器地址" method="post">
<input type="file" name="file"/>
</form>
2 PHP端用$_FILES取出前端上次的文件,用move_uploaded_file把上傳的文件從臨時目錄移動到你伺服器的文件目錄下
3 用scandir掃描你的文件目錄,用is_file過濾文件,你頁面上的文件大小,可以通過filesize獲取,上傳時間就是創建時間用filemtime
4 發起刪除用unlink刪除 發起下載就讀取文件然後修改header返回即可
E. 文件上傳漏洞的類型有哪些
1、 前端檢測繞過
有的站點只在前端對文件的類型有所限制,我們只需用bp抓包然後修改文件後綴名就能繞過這種檢測。
2、 文件頭檢測繞過
有的站點使用文件頭來檢測文件的類型,這種檢測可以在shell前加入相應的位元組一繞過檢測,幾種常見的文件類型的頭位元組如下:
3、 後綴檢測繞過
部分伺服器僅根據文件後綴、上傳時的信息或者文件頭來判斷文件類型,此時可以繞過。php由於歷史的原因,部分解釋器可能支持符合正則/ph(p[2-7]?|t(ml)?)/的後綴,如php/php5/pht/phtml/shtml/pwml/phtm等。如果後端對文件名進行了過濾,可以嘗試雙寫文件名,比如1.pphphp。
4、 系統命名繞過
在windows系統中,上傳不符合windwos命名規則的文件名會被windows系統自動去掉不符合規則符號後面的內容,例如:test.asp.、test.asp(空格)、test.php:1.jpg、test.php:: D A T A 、 t e s t . p h p : : DATA、test.php:: DATA、test.php::DATA…這些文件上傳到伺服器端之後都會變成test.php
在linux系統下,可以嘗試上傳文件後綴名為大小寫混用的Php文件。
5、 文件包含繞過
在文件包含的時候,為了靈活包含文件,將被包含文件設置為變數,通過動態變數來引入需要包含的文件,用戶可以對變數的值進行控制,而伺服器端未對變數進行合理的校驗,這樣就導致所包含的文件有可能存在惡意代碼。比如1.php
<?php $file=$_GET[『file』]; include($file); ?>
這個程序就包含了一個文件,我們在1.txt文件中寫入
<?php phpinfo(); ?>
然後將這個文件包含在1.php中1.php?file=1.txt這樣
<?php phpinfo(); ?>就成功寫入1.php這個文件當中,我們訪問1.php這個文件的時候就能出現php信息那個頁面。利用這個漏洞我們就可以進行文件上傳,我們只需包含一個一句話木馬內容的txt就能用菜刀連接,這樣就成功執行了文件上傳。
6、 解析漏洞繞過
目錄解析:在網站中建立名稱為*.asp、.asa格式的文件夾時,其文件夾下面的文件都會被當做asp執行。
文件解析:當文件名為.asp;1.jpg時,也會被當做asp執行
Apache解析漏洞:Apache在解析文件時,是從右往左,如果遇到不認識的擴展名時,就會繼續向左判斷,例如1.php.rar就會被當做
php解析。
IIS 7.0/IIS 7.5/Nginx<0.8.3畸形文件解析漏洞,當訪問http://xxx.com/1.jpg/1.php時,此時1.php不存在,就會將1.jpg當做php文件去執行,所以如果存在該漏洞,將php木馬後綴改成jpg然後訪問1.jpg/1.php然後1.jpg就會被當成1.php來執行。
.htaccess,該文件裡面的代碼如下:
<FilesMatch 「1」>
SetHandler application/x-httpd-php
這段代碼的意思就是文件名包含」1」這個這個字元串就會被當成php文件來處理。但是值得注意的是上傳.htaccess必須是網站根路徑。
7、 文件截斷繞過
00截斷:由於00代表結束符,所以會把00後面的所有字元刪除。
能利用這個漏洞的前提是,php版本要小於5.3.4,magic_quotes_gpc需要為OFF狀態。我們用bp進行攔包之後,需要send to repeater,然後在hex中,在php後面添加00
8、 競爭條件攻擊
一些網站上傳文件邏輯上是允許上傳任意文件的,然後檢查上傳文件的內容是否包含webshell腳本,如果包含則刪除該文件,這里存在的問題是文件上傳成功之後和刪除文件之間存在一個短的時間差,攻擊者就可以利用這個時間差來上傳漏洞攻擊。攻擊者先上傳一個webshell腳本1.php內容如下:
<?php fputs(fopen(『../shell.php』,』w』),』<?php @eval($_POST[a]) ?>』); ?>
代碼內容就是生成一個新的webshell,shell.php,那麼當1.php上傳成功之後,我們快速訪問這個文件,這時就會在伺服器端當前目錄下自動生成shell.php,這時就利用時間差完成了webshell的上傳。
F. 用PHP寫上傳資源的代碼是上傳大文件,例如300M的文件,再不改php.ini設置的情況下,有沒有一種用代碼修改
可以,利用php裡面的函數ini_set(),ini_set參數格式為ini_set($var,$value),$var是你要設置的配置選項,$value是你要修改的值。
G. PHP使用inputfile實現文件上傳
在使用三豐雲的免費雲伺服器進行系統測試時,PHP環境和代碼是常用工具。今天分享的是如何利用PHP的inputfile實現文件上傳。
HTML中,通過將input框的type屬性設置為file,即可將其轉變為文件上傳組件。實現上傳功能需要配合使用form表單和submit按鈕。
在PHP中,文件上傳通過腳本接收,伺服器創建目標文件存儲上傳的文件。
在開發中,處理文件上傳還需要考慮安全性,包括文件類型、大小等問題。不進行限制可能導致安全隱患。文件類型可以通過檢查上傳文件的MIME類型或擴展名來限制。在PHP中,in_array()函數可用來檢查文件類型是否在規定范圍內。
文件大小限制同樣重要,以防止過大文件上傳。使用$_FILES["file"]["size"]可以獲取上傳文件的大小。
總結而言,使用input file實現文件上傳功能是Web開發中常見的任務。在PHP中,通過$_FILE變數接收上傳文件信息,並利用move_uploaded_file函數將文件存儲到指定目錄。此外,通過in_array和$_FILES["file"]["size"]等方法,確保文件類型和大小符合安全標准,以提高上傳文件的安全性。