Questa caratteristica permette di caricare sia file di testo
che binari. Utilizzando le funzioni di PHP per l'autenticazione e manipolazione dei file,
è possibile avere pieno controllo su chi ha i permessi per caricare un file e su
ciò che deve essere fatto una volta che il file è stato caricato.
Il PHP è in grado di riceve upload di file da qualsiasi browser
compatibile con la RFC-1867 (compresi Netscape Navigator 3
e successivi, Microsoft Internet Explorer 3
con le patch di Microsoft, oppure le versioni successive senza patch).
Si noti che PHP permette l'upload di file con metodo PUT come utilizzato dai
programmi Netscape Composer e
W3C Amaya. Si veda Supporto per metodo PUT
per maggiori dettagli.
Esempio 38-1. Form di caricamento file
La schermata di caricamento di un file può essere costruita con una form
particolare, di questo tipo:
<!-- Tipo di codifcia dei dati, DEVE essere specificato come segue -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
<!-- MAX_FILE_SIZE deve precedere campo di input del nome file -->
<input type="hidden" name="MAX_FILE_SIZE" value="30000" />
<!-- Il nome dell'elemento di input determina il nome nell'array $_FILES -->
Send this file: <input name="userfile" type="file" />
<input type="submit" value="Send File" />
</form> |
L'__URL__ dell'esempio precedente deve essere sostituito
con il puntamento ad un file PHP.
Il campo nascosto MAX_FILE_SIZE (misurato in byte) deve precedere
il campo di input del file, ed il suo valore indica la dimensione massima di file accettata.
Questa è un'informazione per il browser, ma anche il PHP lo verifica.
E' facile aggirare questa impostazione sul browser,
quindi non fate affidamento sul fatto che il navigatore si comporti come desiderato!
L'impostazione PHP lato server per la dimensione massima non può comunque essere aggirata.
Tuttavia si può comunque inserire
MAX_FILE_SIZE per evitare all'utente di attendere il trasferimento di un file
prima di scoprire che è di dimensioni eccessive.
|
Nota:
Accertarsi che il form di upload abbia l'impostazione enctype="multipart/form-data"
altrimentio non funzionerà.
A partire dal PHP 4.1.0 esiste la variabile globale
$_FILES. (Utilizzare $HTTP_POST_FILES
nelle versioni precedenti).
Queste matrici contengono tutte le informazioni sui file inviati.
Di seguito verrà illustrato il contenuto di
$_FILES nel caso dell'esempio precedente. Si
noti che si assume come nome del file inviato userfile, come nell'esempio
precedente. Nella realtà questo può assurmere nome.
- $_FILES['userfile']['name']
Il nome originale del file sulla macchina dell'utente.
- $_FILES['userfile']['type']
Il mime-type del file, se il browser fornisce questa informazione.
Un esempio potrebbe essere "image/gif".
- $_FILES['userfile']['size']
La dimensione, in bytes, del file caricato.
- $_FILES['userfile']['tmp_name']
Il nome del file temporaneo in cui il file caricato è salvato
sul server.
- $_FILES['userfile']['error']
Il codice di errore
associato all'upload di questo file. Questo elemento è stato aggiunto nella versione 4.2.0 di PHP.
I file sono, di default, salvati in una directory temporanea sul server, a meno
che un diverso percorso sia specificato nella direttiva upload_tmp_dir nel file
php.ini. La directory del server predefinita può essere
cambiata impostando la variabile di ambiente TMPDIR in cui
è in esecuzione PHP. Non è possibile impostare questa variabile utilizzando
la funzione putenv() da uno script PHP.
Questa variabile di ambiente può anche essere usata per assicurarsi che
anche altre operazioni stiano lavorando sui file caricati.
Esempio 38-2. Verifica dell'upload di file
Si vedano le definizioni delle funzioni is_uploaded_file() e
move_uploaded_file() per maggiori dettagli.
L'esempio seguente illustra il processamento di un file inviato tramite un
form.
<?php // Nelle versioni di PHP precedenti alla 4.1.0 si deve utilizzare $HTTP_POST_FILES anzichè // $_FILES. $uploaddir = '/var/www/uploads/'; $uploadfile = $uploaddir . basename($_FILES['userfile']['name']); echo "<pre>"; if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) { echo "File is valid, and was successfully uploaded.\n"; } else { echo "Possibile attacco tramite file upload!\n"; } echo 'Alcune infromazioni di debug:'; print_r($_FILES);
print "</pre>";
?>
|
|
Lo script PHP che riceve il file caricato dovrebbe implementare la
logica necessaria per determinare cosa deve essere fatto con il file
caricato. E' possibile, per esempio, utilizzare la variabile
$_FILES['userfile']['size'] per eliminare file che siano troppo
grandi o troppo piccoli. E' possibile utillizzare la variabile
$_FILES['userfile']['type'] per eliminare tutti i file che non soddisfano certi criteri.
A partire da PHP 4.2.0, si può utilizzare $_FILES['userfile']['error']
ed organizzare la logica in base ai codici di errore.
Quale che sia la logica, bisognerebbe comunque sempre
cancellare il file dalla directory temporanea e spostarlo da qualche
altra parte.
Se non si è selezinato alcun file per l'upload, il PHP restituità
$_FILES['userfile']['size'] a 0, e
$_FILES['userfile']['tmp_name'] vuoto.
Il file sarà eliminato dalla directory temporanea al termine della richiesta
se non è stato mosso e rinominato.
Esempio 38-3. Upload di una serie di file
Il PHP supporta le matrici HTML
anche con i file.
<form action="" method="post" enctype="multipart/form-data">
<p>Pictures:
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="submit" value="Send" />
</p>
</form> |
<?php foreach ($_FILES["pictures"]["error"] as $key => $error) { if ($error == UPLOAD_ERR_OK) { $tmp_name = $_FILES["pictures"]["tmp_name"][$key]; $name = $_FILES["pictures"]["name"][$key]; move_uploaded_file($tmp_name, "data/$name"); } } ?>
|
|