好的。由於我對代碼不熟悉,因此我將使用一些通用代碼作爲示例。你所要做的就是調整它。
首先將視頻上傳/ MP3 /圖片或任何一個非常基本的HTML:你需要準備你的數據庫表
<form name="upload" action="" method="POST" ENCTYPE="multipart/form-data">
Select the file to upload: <input type="file" name="userfile">
<input type="submit" name="upload" value="upload">
</form>
下一頁:
CREATE TABLE `uploads` (
`id` INT(11) NOT NULL AUTO_INCREMENT,
`userid` INT(11) NOT NULL,
`name` VARCHAR(64) NOT NULL,
`original_name` VARCHAR(64) NOT NULL,
`mime_type` VARCHAR(20) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8;
現在到了文件上傳部分。在這一點上,我應該提到,我並不擅長MySQLi的formilliar。爲此,我在這個例子中使用了PDO。但是,如果您願意,您應該可以將其調整爲MySQLi:
<?php
session_start();
# My PDO class. A link to it can be found at the bottom of this answer
require_once 'pdo.class.php';
# Send user back login if not logged
if(!isset($_SESSION['your_login_userid_here'])){
Header("Location: your_login.php");
}
# If file is uploaded
if(isset($_POST['upload'])){
$uploaddir = 'uploads'; # Your upload directory
function tempnam_sfx($path, $suffix){
do {
$file = $path."/".mt_rand().$suffix;
$fp = @fopen($file, 'x');
}
while(!$fp);
fclose($fp);
return $file;
}
# Make a regular expression to check for allowed mime types
$pattern = "#^(image/|video/|audio/)[^\s\n<]+$#i";
if(!preg_match($pattern, $_FILES['userfile']['type']){
die("Only image, video and audio files are allowed!");
}
$uploadfile = tempnam_sfx($uploaddir, ".tmp");
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
# Define db configuration
define("DB_HOST", "localhost");
define("DB_USER", "username");
define("DB_PASS", "password");
define("DB_NAME", "dbname");
$db = new Database;
$db->query("INSERT INTO uploads SET userid=:id, name=:filename, original_name=:oriname, mime_type=:mime");
$db->bind(":userid",$_SESSION['your_login_userid_here']);
$db->bind(":filename",basename($uploadfile));
$db->bind(":oriname",basename($_FILES['userfile']['name']));
$db->bind(":mime",$_FILES['userfile']['type']);
try {
$db->execute();
} catch (PDOException $e) {
unlink($uploadfile);
die("Error saving data to the database. The file was not uploaded");
}
$id = $db->lastInsertId();
echo "File succesfully uploaded.\n";
} else {
echo "File uploading failed.\n";
}
} else {
# No upload received. Send user to upload page
Header("Location: html_upload_form.html");
}
?>
那麼發生了什麼?基本上我們正在上傳文件到我們的上傳目錄,我們給它一個隨機的文件名,其擴展名爲.tmp
。在我們的數據庫中,我們保存了這個隨機文件名,原始文件名以及它的類型。當然,我們也添加了用戶標識,所以我們知道應該向誰提交文件。這種方法的好處如下:
- - 沒有人會知道服務器上的文件名。
- - 除了所有者之外,沒有人會知道原始文件的名稱。
- - Mime Type允許我們設置HTML5媒體播放器。
- - 所有者能夠下載文件,但沒有其他人。
最多而來的PHP文件,將檢索我們上傳的文件:
<?php
session_start();
require_once 'pdo.class.php';
# Send user back login if not logged
if(!isset($_SESSION['your_login_session_here'])){
Header("Location: your_login.php");
}
# Define db configuration
define("DB_HOST", "localhost");
define("DB_USER", "username");
define("DB_PASS", "password");
define("DB_NAME", "dbname");
$uploaddir = 'uploads/';
$id = $_GET['id'];
if(!is_numeric($id)) {
die("File id must be numeric");
}
$db = new Database;
$db->query('SELECT userid, name, mime_type FROM uploads WHERE id=:id');
$db->bind(":id", $id);
try {
$file = $db->single();
} catch (PDOException $e) {
die("Error fetching data from the database");
}
# Check if file belongs to user
if($_SESSION['your_login_session_here'] != $file['userid']){
die("This file does not belong to you!");
}
if(is_null($file) || count($file)==0) {
die("File not found");
}
$newfile = $file['original_name']; # The original filename
# Send headers and file back
header('Content-Description: File Transfer');
header('Content-Disposition: attachment; filename='.basename($newfile));
header('Expires: 0');
header('Cache-Control: must-revalidate');
header('Pragma: public');
header('Content-Length: ' . filesize($uploaddir.$file['name']));
header("Content-Type: " . $file['mime_type']);
readfile($uploaddir.$file['name']);
?>
這是怎麼回事?在此文件中,您使用文件ID從數據庫檢索用戶文件。這樣,用戶不需要知道任何文件名!得益於我們的頭文件,文件的所有者將能夠使用它的原始名稱下載文件,而不必知道服務器上的文件名。
所以接下來我會給你如何向用戶展示他所有的文件一個簡單的例子:
<?php
session_start();
require_once 'pdo.class.php';
# Send user back login if not logged
if(!isset($_SESSION['your_login_session_here'])){
Header("Location: your_login.php");
}
# Define db configuration
define("DB_HOST", "localhost");
define("DB_USER", "username");
define("DB_PASS", "password");
define("DB_NAME", "dbname");
$db = new Database;
# Retrieve all files from the user and build links
$db->query("SELECT id, original_name, mime_type FROM uploads WHERE userid=:id");
$db->bind(":id",$_SESSION['your_login_session_here']);
try {
$files = $db->resultset();
} catch (PDOException $e) {
die("Error fetching data from the database");
}
if($db->rowCount() > 0){
foreach($files as $file){
echo "<a href='your_html_viewer_file.php?id=". $file['id'] "&type=". $file['mime_type'] .">". $file['original_name'] ."</a><br />";
}
} else {
echo "No files found!";
}
?>
最後談到的PHP文件,將顯示一些HTML媒體播放器的文件。我會在這裏只有2個例子,你應該能夠添加自己很容易:
<?php
session_start();
# Send user back login if not logged
if(!isset($_SESSION['your_login_session_here'])){
Header("Location: your_login.php");
}
$id = $_GET['id'];
$type = $_GET['type'];
if(strpos($type, 'video/') === 0){ ?>
<video width="480" height="320" controls>
<source src="your_file_retriever.php?id=<?php echo $id; ?>" type="<?php echo $type; ?>">
</video>
<?php } else if(strpos($type, 'audio/') === 0){ ?>
<audio controls>
<source src="your_file_retriever.php?id=<?php echo $id; ?>" type="<?php echo $type; ?>">
</audio>
<?php } ?>
現在,以確保沒有人會只是蠻力攻擊你上傳的文件夾,你需要創建裏面.htaccess文件這個文件夾。下面的代碼將訪問除了服務器本身ofcourse該文件夾阻止任何人:
order deny,allow
deny from all
allow from 127.0.0.1
我PDO Class。
這是一個非常廣泛的主題,恐怕不能在這裏介紹。有很多種方法可以實現這一點。做它服務器端將是最好的,因爲訪問者總是可以修改JavaScript。 –
我發現最安全的選擇是將用戶文件保存在文檔根目錄之外。但是,要完成此操作,您需要完全訪問您的服務器。默認情況下,php不能遍歷文檔根目錄之外。所以你需要做一些調整來實現這一點。完成後,根本沒有任何直接鏈接到可以工作的文件。然而,Php本身可以訪問它們並將它們返回給用戶。 – icecub
非常感謝Darren H,你知道涵蓋這個問題的任何資源或教程嗎?我沒有找到GOOGLING :-( – user2992476