這是一個安全的方式來創建一個ajax上傳表單？

Question

我發現這個鏈接在線，

http://www.ultramegatech.com/blog/2010/10/create-an-upload-progress-bar-with-php-and-jquery/

它是安全的安裝此PHP空間/插件，然後使用它？

也許有人對文件上傳系統有另一個建議？

我有一個標題，描述和圖像輸入的表單。提交後，應該上傳顯示上傳過程的圖像，然後在成功上傳後將數據輸入到MySQL表中。

在Mac上，您可以將文件拖放到文件輸入中，因此我想保留原來的外觀和感覺。

Answer 1

當然它是安全的。

重要的部分不是上傳器的「接口」，它可以是Ajax，RAW HTML或您可能使用的任何客戶端;這是PHP處理腳本，它將接收上傳的文件並對其進行處理。

• 檢查文件大小
• 檢查的文件擴展名
• 檢查，如果文件是重複
• 檢查正確的權限，這樣：你可能想在你的「upload.php的」處理程序來考慮

  事服務器可以寫/讀

• 檢查用戶是否濫用上傳系統（cookie）
• 等。
• 畢竟，它保存爲進一步的需求;）

好運。

Answer 2

以下是upload.php程序的源代碼：

<?php 
if ($_FILES['file']['error'] === UPLOAD_ERR_OK) { 
    $path = './uploads/' . basename($_FILES['file']['name']); 
    move_uploaded_file($_FILES['file']['tmp_name'], $path); 
} 

正如你所看到的，它是沒有做任何類型的檢查。如果您上傳任何PHP shell腳本，它將毫無問題地上傳它。所以它不安全。以下鏈接可能會對您有所幫助：PHP image upload security check list