PHP feltöltés

[sandor676 0]

Sziasztok!

Az alábbi űrlapos fájlfeltöltésben szeretnék segítséget kérni:

HTML fájl egy kicsit egyszerűsítve:

 

 

<form action="feldolgozo.php" method="post" enctype="multipart/form-data">
<p align="center">
<label for="nev">Név:</label>
<input type="text" name="nev" id="nev" />
</p>
<p align="center">
<label for="email">E-mail cím:</label>
<input type="text" name="email" id="email" />
</p>
<p align="center">
<label for="feltolt">Feltöltés</label>
<input type="file" name="feltolt" />
<button type="submit">Elküldés</button>
</form>

 

PHP:

<?php
include 'con.php';
$nev = $_REQUEST['nev'];
$email = $_REQUEST['email'];
$feltolt = $_REQUEST['$feltolt'];
if (strpos($_FILES["feltolt"]["type"],'msword') != false) {
$kiterjeszters="doc";
}
if (strpos($_FILES["feltolt"]["type"],'vnd.openxmlformats-officedocument.wordprocessingml.document') != false) {
$kiterjeszters="docx";
}
if (strpos($_FILES["feltolt"]["type"],'pdf') != false) {
$kiterjeszters="pdf";
try{
$pdo = new PDO("mysql:host=$host; dbname=$db_n", $user, $pass);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $pdo->prepare("insert into table(nev, email, feltolt) values(:nev, :email, :feltolt)");
$stmt->execute(array(':nev'=>$nev, ':email'=>$email, ':feltolt'=>$feltolt));
echo 'Adatok elmentve';
}
catch(PDOException $e) {
echo $e->getMessage();
}
$cel="foldername";
move_uploaded_file($_FILES["feltolt"]["tmp_name"], $cel);
?>

 

 

Mit javítsak még a kódban, hogy működjön a fájl feltöltés + a megadott adatokat mentse el a program az adatbázisban is?

Előre is köszönöm a segítségeteket!

[payskin 917]

Mi a probléma?

[kléni 7]

Mi a probléma?

- align:center

- table nevű tábla

- kiterjesztés nélküli cél megadás, ami valóban egy mappa neve.

- strpos használata fix adatok ellenőrzésére

- a file type-jének vizsgálata a kiterjesztés kinyerésére

- a PDO nem injection-védett használata

- az adatok nem ellenőrzése

- $_REQUEST használata $_POST helyett

- a move_uploaded_file nem jó helyen, és nem megfelelő használata.

 

Válogathatsz.

[payskin 917]

Jó, kezdjük ott, hogy nincs normálisan formázva a kód, innentől nagyon bele sem ástam magam, meg nem akartam rögtön ráborítani az asztalt. De a kérdés nem erre vonatkozott, hanem, hogy neki mi baja van? Nem működik? Hibaüzenetet ír ki? Ha igen, mi az? Mégis, mi lenne most a mi teendőnk? Már megint gondolatolvasó-tanfolyam kéne ahhoz, hogy kitaláljam, a drága delikvens mit szeretne... Halálom.

 

Apropó, szerinted hogy injection-védett a PDO? Szerintem így is az.

[kléni 7]

http://stackoverflow.com/a/12202218/2625561

[sandor676 0]

Nem ír ki hibát.

A probléma ott van, hogy nem illeszti be az adatokat az adatbázisba, valamint nem töltödik fel a fájl a megadott mappába.

Ezen kívül: az adatbázist szeretném levédeni Injection támadás ellen, valamint a feltöltött fájlokat is védetten szeretném tárolni.

[kléni 7]

Ne használj keyword-öt az SQL-ben, adj meg rendes fájlnevet a move_uploaded_file függvénynek, és kövest amit belinkeltem. Ezzel megoldódnak a hibák amiket írtál.

[payskin 917]

http://stackoverflow.com/a/12202218/2625561

 

Bocs, hogy ezt mondom, de ez egy nagy rakás baromság.

 

Az első:

 

However, imagine that later the application retrieves your username from the database, and uses string concatenation to include that value a new query.

 

Tehát feltételezzük azt a kódot, ami az adatok első rögzítésekor prepared statementen keresztül ment, de később lekérdezi ezt az adatot, hogy egy másik lekérdezésbe pedig konkatenálja? Ööö... meglehetősen valószínűtlen. Másrészt nem látom, hogy hogyan nem fog MySQL hibába futni? Legjobb tudomásom szerint a PDO nem enged több MySQL-parancsot futtatni egy menetben (kivéve talán az exec?) tehát, például, a Little Bobby Tables eset akkor sem működne, ha nem volna prepared statementben a paraméter.

 

A második:

 

$pdo->query('SET NAMES gbk');

 

Na jó.

 

Ennyi erővel töröljük le a francba az egész adatbázist, nem? De most komolyan, használtál életedben más -- egzotikus -- kódolást, mint a sima ascii, a latin2 vagy az utf8? Mert ha nem, akkor benne vagy a válasz végén a felsorolásban:

 

Don't use a vulnerable character set for connection encoding (you only use utf8 / latin1 / ascii / etc)

 

Ok, pipa, mehetünk tovább. De azért is érdemes kikapcsolni az emulált prepared statementeket (nálunk ki is van), mert a mysqlnd csak így adja vissza helyes típussal a lekérdezett adatokat. (Mármint az int-eket számként.)

 

A harmadik, ami a tábla nevét REQUEST-ből illeszti be, az már a legalja.

 

Szóval, nem vagyok meggyőzve.

 

 

[payskin 917]

Nem ír ki hibát.

A probléma ott van, hogy nem illeszti be az adatokat az adatbázisba, valamint nem töltödik fel a fájl a megadott mappába.

Ezen kívül: az adatbázist szeretném levédeni Injection támadás ellen, valamint a feltöltött fájlokat is védetten szeretném tárolni.

1. Kezdd azzal, hogy beformázod rendesen a kódot, hogy olvasni lehessen. Amíg ez nincs meg, én biztos nem kezdek el benne hibát keresni.
    
   
2. Ellenőrizni kéne a hibajelzés (error_reporting) beállításait. Ha direkt beleírsz valami hülyeséget az elejébe, vagy lehagysz egy pontosvesszőt, kapsz hibát?
    
   
3. Az adatbázis-kezelésnél vagy lefut a try rész, vagy jön a catch-ből a hibaüzenet, olyan nincs, hogy nem ír bele az adatbázisba, de nincs hibaüzenet. Magyarul, idáig valószínűleg nem jut el a program futása. Akkor pedig stratégiailag elhelyezett echo('WTF?'); parancsokkal ki kéne deríteni, hol hal meg. De a legjobb volna az elején egy error_reporting(-1); parancsot beküldeni.
    
   
4. Mit tudunk a szerverről? Hányas PHP-t használunk?
   

[kléni 7]

Akkor én nem olvastam el elég figyelmesen. De én az elsőt választottam, és a DSN-ben megadom a karakterkódolást minden esetben. Ez biztosan nem árt, és nem kell arra hagyatkozni, hogy nem lesz ufó-kódolású a tábla.

[payskin 917]

Igazad van, megnézem majd én is.

[arpsoft 12]

Van az adatbázisodban "table" nevű tábla?

Van "foldername" nevű könyvtárad?

 

Fogadok, hogy valahonnan másoltad a kódot és ezeket hozzá kéne passzítani a te rendszeredhez.

[payskin 917]

Pacsi, arpsoft, ritkán jársz felénk!