PHP: Загрузка файлов методом POST

[edit] Last updated: Fri, 25 May 2012

Загрузка файлов методом POST

Данная возможность позволяет загружать как текстовые, так и бинарные файлы. С помощью PHP-функций авторизации и манипуляции файлайми вы получаете полный контроль над тем, кому разрешено загружать файлы и что должно быть сделано после их загрузки.

PHP способен получать загруженные файлы из любого браузера, совместимого со стандартом RFC-1867.

Замечание: Смежные замечания по конфигурации

Также ознакомьтесь с описанием директив file_uploads, upload_max_filesize, upload_tmp_dir, post_max_size и max_input_time конфигурационного файла php.ini

Также следует заметить, что PHP поддерживает загрузку файлов методом PUT, который используется в клиентах Netscape Composer и W3C Amaya. Для получения более детальной документации обратитесь к разделу поддержка метода PUT

Пример #1 Форма для загрузки файлов

Страница для загрузки файлов может быть реализована при помощи специальной формы, которая выглядит примерно так:

<!-- Тип кодирования данных, enctype, ДОЛЖЕН БЫТЬ указан ИМЕННО так -->
<form enctype="multipart/form-data" action="__URL__" method="POST">
    <!-- Поле MAX_FILE_SIZE должно быть указано до поля загрузки файла -->
    <input type="hidden" name="MAX_FILE_SIZE" value="30000" />
    <!-- Название элемента input определяет имя в массиве $_FILES -->
    Отправить этот файл: <input name="userfile" type="file" />
    <input type="submit" value="Send File" />
</form>

В приведенном выше примере __URL__ необходимо заменить ссылкой на PHP-скрипт.

Скрытое поле MAX_FILE_SIZE (значение необходимо указывать в байтах) должно предшествовать полю для выбора файла, и его значение является максимально допустимым размером принимаемого файла в PHP. Рекомендуется всегда использовать эту переменную, так как она предотвращает тревожное ожидание пользователей при передаче огромных файлов, только для того, чтобы узнать, что файл слишком большой и передача фактически не состоялась. Помните, обойти это ограничение на стороне браузера достаточно просто, следовательно, вы не должны полагаться на то, что все файлы большего размера будут блокированы при помощи этой возможности. Это по большей части удобная возможность для пользователей клиентской части вашего приложения. Тем не менее, настройки PHP (на сервере) касательно максимального размера обойти невозможно.

Замечание:
Также следует убедиться, что в атрибутах формы вы указали enctype="multipart/form-data", в противном случае загрузка файлов на сервер выполняться не будет.

Суперглобальный массив $_FILES доступен начиная с PHP 4.1.0 (В более ранних версиях используйте вместо него $HTTP_POST_FILES). Эти массивы будут содержать всю информацию о загруженных файлах.

Содержимое массива $_FILES для нашего примера приведено ниже. Обратите внимание, что здесь предполагается использование имени userfile для поля выбора файла, как и в приведенном выше примере. На самом деле имя поля может быть любым.

$_FILES['userfile']['name']: Оригинальное имя файла на компьютере клиента.
$_FILES['userfile']['type']: Mime-тип файла, в случае, если браузер предоставил такую информацию. Пример: "image/gif". Этот mime-тип не проверяется в PHP, так что не полагайтесь на его значение без проверки.
$_FILES['userfile']['size']: Размер в байтах принятого файла.
$_FILES['userfile']['tmp_name']: Временное имя, с которым принятый файл был сохранен на сервере.
$_FILES['userfile']['error']: Код ошибки, которая может возникнуть при загрузке файла. Этот элемент был добавлен в PHP 4.2.0

По умолчанию принятые файлы сохраняются на сервере в стандартной временной папке до тех пор, пока не будет задана другая директория при помощи директивы upload_tmp_dir конфигурационного файла php.ini. Директорию сервера по умолчанию можно сменить, установив переменную TMPDIR для окружения, в котором выполняется PHP. Установка этой переменной при помощи функции putenv() внутри PHP-скрипта работать не будет. Эта переменная окружения также может использоваться для того, чтобы удостовериться, что другие операции также работают с принятыми файлами.

Пример #2 Проверка загружаемых на сервер файлов

Для получения более детальной информации вы можете ознакомиться с описанием функций is_uploaded_file() и move_uploaded_file(). Следующий пример принимает и обрабатывает загруженный при помощи формы файл.


<?php
// В PHP 4.1.0 и более ранних версиях следует использовать $HTTP_POST_FILES 
// вместо $_FILES.

$uploaddir = '/var/www/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);

echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
    echo "Файл корректен и был успешно загружен.\n";
} else {
    echo "Возможная атака с помощью файловой загрузки!\n";
}

echo 'Некоторая отладочная информация:';
print_r($_FILES);

print "</pre>";

?>

PHP-скрипт, принимающий загруженный файл, должен реализовывать логику, необходимую для определения дальнейших действий над принятым файлом. Например, вы можете проверить переменную $_FILES['userfile']['size'], чтобы отсечь слишком большие или слишком маленькие файлы. Также вы можете использовать переменную $_FILES['userfile']['type'] для исключения файлов, которые не удовлетворяют критерию касательно типа файла, однако, принимайте во внимание, что это поле полностью контролируется клиентом, используйте его только в качестве первой из серии проверок. Начиная с PHP 4.2.0, вы можете использовать $_FILES['userfile']['error'] и коды ошибок при реализации вашей логики. Независимо от того, какую модель поведения вы выбрали, вы должны удалить файл из временной папки или переместить его в другую директорию.

В случае, если при отправке формы файл выбран не был, PHP установит переменную $_FILES['userfile']['size'] значением 0, а переменную $_FILES['userfile']['tmp_name'] - пустой строкой. none.

По окончанию работы скрипта, в случае, если принятый файл не был переименован или перемещен, он будет автоматически удален из временной папки.

Пример #3 Загрузка массива файлов

PHP поддерживает возможность передачи массива из HTML в том числе и с файлами.

<form action="" method="post" enctype="multipart/form-data">
<p>Изображения:
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="file" name="pictures[]" />
<input type="submit" value="Отправить" />
</p>
</form>


<?php
foreach ($_FILES["pictures"]["error"] as $key => $error) {
    if ($error == UPLOAD_ERR_OK) {
        $tmp_name = $_FILES["pictures"]["tmp_name"][$key];
        $name = $_FILES["pictures"]["name"][$key];
        move_uploaded_file($tmp_name, "data/$name");
    }
}
?>

Полоса прогресса загрузки файлов может быть реализована с помощью "отслеживания прогресса загрузки файлов с помощью сессий".

Разъяснение сообщений об ошибках

Загрузка файлов на сервер

[edit] Last updated: Fri, 25 May 2012

add a note User Contributed Notes Загрузка файлов методом POST

gustavo at roskus dot com 08-Aug-2011 12:21


Some hosting does not have permission to use the move_uploaded_file function should replace the copy function

Age Bosma 10-Jun-2011 02:49


"If no file is selected for upload in your form, PHP will return $_FILES['userfile']['size'] as 0, and $_FILES['userfile']['tmp_name'] as none."



Note that the situation above is the same when a file exceeding the MAX_FILE_SIZE hidden field is being uploaded. In this case $_FILES['userfile']['size'] is also set to 0, and $_FILES['userfile']['tmp_name'] is also empty. The difference would only be the error code.

Simply checking for these two conditions and assuming no file upload has been attempted is incorrect.



Instead, check if $_FILES['userfile']['name'] is set or not. If it is, a file upload has at least been attempted (a failed attempt or not). If it is not set, no attempt has been made.

zingaburga at hotmail dot com 02-Feb-2011 07:09


The documentation is a little unclear about the MAX_FILE_SIZE value sent in the form with multiple file input fields.  The following is what I have found through testing - hopefully it may clarify it for others.



The MAX_FILE_SIZE is applied to each file (not the total size of all files) and to all file inputs which appear after it.  This means that it can be overridden for different file fields.  You can also disable it by sending no number, or sending 0 (probably anything that == '0' if you think about it).



Example:



<form enctype="multipart/form-data" action="." method="POST">

  <!-- no maximum size for userfile0 -->

  <input name="userfile0" type="file" />



  <input type="hidden" name="MAX_FILE_SIZE" value="1000" />

  <!-- maximum size for userfile1 is 1000 bytes -->

  <input name="userfile1" type="file" />

  <!-- maximum size for userfile2 is 1000 bytes -->

  <input name="userfile2" type="file" />



  <input type="hidden" name="MAX_FILE_SIZE" value="2000" />

  <!-- maximum size for userfile3 is 2000 bytes -->

  <input name="userfile3" type="file" />



  <input type="hidden" name="MAX_FILE_SIZE" value="0" />

  <!-- no maximum size for userfile4 -->

  <input name="userfile4" type="file" />

</form>

mail at markuszeller dot com 10-Jan-2011 12:34


If you want to increase the upload size, it could make sense to allow it only to a specified directory and not in the php.ini for the whole domain or server. In my case it worked very well placing that into the .htaccess file like this:



php_value    upload_max_filesize    100M

php_value    post_max_size    101M



Remember, post_max_size must be bigger than the upload_max_filesize.

Mark 29-Sep-2010 04:12


$_FILES will be empty if a user attempts to upload a file greater than post_max_size in your php.ini



post_max_size should be >= upload_max_filesize in your php.ini.

michael 05-Dec-2009 09:19


Just a little note, when I was trying to get this to work on my webserver I got error telling me the permissions were wrong, I checked and couldn't see anything wrong then I thought to try "./" for my upload directory instead of the full address which was something like "home/username/public_html/uploaddir". This will save it in the same directory as your script for the program above thats something like



<?php

// In PHP versions earlier than 4.1.0, $HTTP_POST_FILES should be used instead

// of $_FILES.



$uploaddir = './';//<----This is all I changed

$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);



echo '<pre>';

if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {

    echo "File is valid, and was successfully uploaded.\n";

} else {

    echo "Possible file upload attack!\n";

}



echo 'Here is some more debugging info:';

print_r($_FILES);



print "</pre>";



?>



I know something trivial but when your new to this, those kind of things elude you.

daevid at daevid dot com 11-Jun-2009 02:35


I think the way an array of attachments works is kind of cumbersome. Usually the PHP guys are right on the money, but this is just counter-intuitive. It should have been more like:



Array

(

    [0] => Array

        (

            [name] => facepalm.jpg

            [type] => image/jpeg

            [tmp_name] => /tmp/phpn3FmFr

            [error] => 0

            [size] => 15476

        )



    [1] => Array

        (

            [name] => 

            [type] => 

            [tmp_name] => 

            [error] => 4

            [size] => 

        )

)



and not this

Array

(

    [name] => Array

        (

            [0] => facepalm.jpg

            [1] => 

        )



    [type] => Array

        (

            [0] => image/jpeg

            [1] => 

        )



    [tmp_name] => Array

        (

            [0] => /tmp/phpn3FmFr

            [1] => 

        )



    [error] => Array

        (

            [0] => 0

            [1] => 4

        )



    [size] => Array

        (

            [0] => 15476

            [1] => 0

        )

)



Anyways, here is a fuller example than the sparce one in the documentation above:



<?php

foreach ($_FILES["attachment"]["error"] as $key => $error)

{

       $tmp_name = $_FILES["attachment"]["tmp_name"][$key];

       if (!$tmp_name) continue;



       $name = basename($_FILES["attachment"]["name"][$key]);



    if ($error == UPLOAD_ERR_OK)

    {

        if ( move_uploaded_file($tmp_name, "/tmp/".$name) )

            $uploaded_array[] .= "Uploaded file '".$name."'.<br/>\n";

        else

            $errormsg .= "Could not move uploaded file '".$tmp_name."' to '".$name."'<br/>\n";

    }

    else $errormsg .= "Upload error. [".$error."] on file '".$name."'<br/>\n";

}

?>

eslindsey at gmail dot com 29-Mar-2009 11:09


Also note that since MAX_FILE_SIZE hidden field is supplied by the browser doing the submitting, it is easily overridden from the clients' side.  You should always perform your own examination and error checking of the file after it reaches you, instead of relying on information submitted by the client.  This includes checks for file size (always check the length of the actual data versus the reported file size) as well as file type (the MIME type submitted by the browser can be inaccurate at best, and intentionally set to an incorrect value at worst).

claude dot pache at gmail dot com 19-Mar-2009 09:26


Note that the MAX_FILE_SIZE hidden field is only used by the PHP script which receives the request, as an instruction to reject files larger than the given bound. This field has no significance for the browser, it does not provide a client-side check of the file-size, and it has nothing to do with web standards or browser features.

add a note