Metodo POST per caricamento di file

PHP � in grado di ricevere file caricati da qualsiasi browser compatibile con le specifiche RFC-1867 (che comprende Netscape Navigator 3 o successivo, Microsoft Internet Explorer 3 con una modifica di Microsoft, o versioni successive senza modifica). Questa caratteristica permette di caricare sia file di testo che binari. Utilizzando le funzioni di PHP per l'autenticazione e manipolazione dei file, � possibile avere pieno controllo su chi ha i permessi per caricare un file e su ci� che deve essere fatto una volta che il file � stato caricato.

Si noti che PHP permette l'upload di file con metodo PUT come utilizzato dai programmi Netscape Composer e W3C Amaya. Si veda Supporto per metodo PUT per maggiori dettagli.

La schermata di caricamento di un file pu� essere costruita con una form particolare, di questo tipo:

<form enctype="multipart/form-data" action="_URL_" method="post">
<input type="hidden" name="MAX_FILE_SIZE" value="1000">
Invia questo file: <input name="userfile" type="file">
<input type="submit" value="Invia File">
</form>

In PHP, le seguenti variabili sono definite all'interno dello script di destinazione a seguito di un upload terminato con successo, nell'ipotesi che l'impostazione register_globals sia attiva nel file php.ini. Se l'impostazione track_vars � attiva, le variabili saranno attive in PHP nell'array globale $HTTP_POST_VARS. Notate che i nomi delle variabili seguenti si basano sull'ipotesi che abbiate chiamato il file di cui fare l'upload 'userfile' come nell'esempio precedente:

• $userfile - Il file temporaneo in cui il file caricato � salvato sul server.

• $userfile_name - Il nome originale o percorso del file sulla macchina dell'utente.

• $userfile_size - La dimensione del file caricato in bytes.

• $userfile_type - Il mime-type del file, se il browser fornisce questa informazione. Un esempio pu� essere "image/gif".

In PHP 4 il comportamento � leggermente differente, perch� � disponibile il nuovo array globale $HTTP_POST_FILES che contiene le informazioni sul file caricato. Questo � disponibile solo se la variabile track_vars � attiva, ma track_vars � sempre attiva dalle versioni successive alla PHP 4.0.2.

Il contentuto dell'array $HTTP_POST_FILES � riportato di seguito. Si noti che che questo ipotizza l'uso del nome del file caricato 'userfile', come nell'esempio precedente:

I file sono, di default, salvati in una directory temporanea sul server, a meno che un diverso percorso sia specificato nella direttiva upload_tmp_dir nel file php.ini. La directory del server predefinita pu� essere cambiata impostando la variabile di ambiente TMPDIR in cui � in esecuzione PHP. Non � possibile impostare questa variabile utilizzando la funzione putenv() da uno script PHP. Questa variabile di ambiente pu� anche essere usata per assicurarsi che anche altre operazioni stiano lavorando sui file caricati.

<?php 
if (is_uploaded_file($userfile)) {
    copy($userfile, "/place/to/put/uploaded/file");
} else {
    echo "Possibile attacco nell'upload del file: filename '$userfile'.";
}
/* ...or... */
move_uploaded_file($userfile, "/posto/dove/mettere/file/caricato");
?>

<?php
/* Userland test for uploaded file. */ 
function is_uploaded_file($filename) {
    if (!$tmp_file = get_cfg_var('upload_tmp_dir')) {
        $tmp_file = dirname(tempnam('', ''));
    }
    $tmp_file .= '/' . basename($filename);
    /* User might have trailing slash in php.ini... */
    return (ereg_replace('/+', '/', $tmp_file) == $filename);
}

if (is_uploaded_file($userfile)) {
    copy($userfile, "/posto/dove/mettere/file/caricato");
} else {
    echo "Possibile attacco nell'upload del file: filename '$userfile'.";
}
?>

Lo script PHP che riceve il file caricato dovrebbe implementare la logica necessaria per determinare cosa deve essere fatto con il file caricato. E' possibile, per esempio, utilizzare la variabile $file_size per eliminare file che siano troppo grandi o troppo piccoli. E' possibile utillizzare la variabile $file_type per eliminare tutti i file che nono sodisfano certi criteri. Quale che sia la logica, bisognerebbe comunque sempre cancellare il file dalla directory temporanea e spostarlo da qualche altra parte.

Il file sar� eliminato dalla directory temporanea al termine della richiesta se non � stato mosso e rinominato.