Q&A
同じ画像じゃなくても名前が一緒だったら上書きしちゃうの?
フォームからファイルを送信して、もし既に存在するファイル名だったら上書きをしたいんですが、どうすればいいですか?
php
1$path = sprintf($_SERVER['DOCUMENT_ROOT'] . './users/'.$_POST['keyid'].".png"); 2if (!move_uploaded_file($_FILES['upfile']['tmp_name'], $path)) { 3 throw new RuntimeException('ファイル保存時にエラーが発生しました'); 4} 5chmod($path, 0644);
処理の一部なんですが、if (!move_uploaded_file($_FILES['upfile']['tmp_name'], $path)) {でエラーが出てるみたいです。
でも、ここを存在しない名前だといけるんで、ファイルが合った場合は上書きをしたいんです。どうすればいいですか?
はい。上書きします。
と言うことは、画像ファイルをエクセルで上書きすることもできちゃいますね。
どういう意味でしょうか?
test.pngという名前の画像がすでにあったとしてエクセルファイルをtest.pngと名前を変更してアップロードされたとしても上書きしていいの?ってことです。名前は画像っぽいけど実態はエクセル(要は画像じゃないってこと)
なるほど、要するに、ファイルの内容が画像データじゃなかったら、エラーを出して、処理を止める必要があるということですか?
画像を表示したいけど実態は画像じゃないから表示できませんし、幾らでも悪さができますよね。その辺りの概念とかチェックの仕方は別途調べてください。幾らでも出てきます。
なるほど、ありがとうございます。ちょっとエンドユーザを信用しすぎてました。拡張子だけで判断するのはよくないということですね。
ユーザからの入力は信用しない が基本です。もちろん社内システムのような限定された環境であっても。
勉強になります。
回答2件
0
ベストアンサー
$_SERVER['DOCUMENT_ROOT']は文字の末尾にスラッシュがつかないので
$_SERVER['DOCUMENT_ROOT'] . './users/'
とすると、最後のディレクトリ名のケツに「.」がついて(おそらく)
存在しないディレクトリに書き込もうとしませんか?
またユーザーから送られてきた「$_POST['keyid']」でファイル名を決めると
いうのはセキュリティ的にあまりよろしくないと思います
サーバー上に書き込まれるデータの名称はなるべくサーバー側から与えてやるべきでは?
投稿2017/06/05 14:08
総合スコア114883
0
move_uploaded_file()はもし既にファイルがあれば上書きするはずですので、パーミッションの問題なのかなぁと思います。
php
1 2$path = sprintf($_SERVER['DOCUMENT_ROOT'] . './users/'.$_POST['keyid'].".png"); 3 4//既存ファイルのパーミッションを書き込み可にする 5if(file_exists($path)){ 6chmod($path, 0664); 7} 8 9//それかファイルがあれば削除する。もしかしたらこっちの方が明快? 10/* 11if(file_exists($path)){ 12 unlink($path); 13} 14*/ 15 16if (!move_uploaded_file($_FILES['upfile']['tmp_name'], $path)) { 17 throw new RuntimeException('ファイル保存時にエラーが発生しました'); 18} 19chmod($path, 0644); 20
投稿2017/06/05 14:22
総合スコア1895
あなたの回答
tips
プレビュー
