Script upload

[canaleprotetto]

salve ragazzi!ho fatto uno script (anche razie ad alcuni amici) però mi risulta un errore si sintassi!mi potete aiutare..

Codice:

index.html
<form action="upload.php" method="post" enctype="multipart/form-data">
  <p>
    <input type="file" name="upfile">
  </p>
  <p>
    <textarea name="testo">Inserisci una breve descrizione..</textarea>
  </p>
  <p>
    <input name="nome" type="text" value="Inserisci un nome.."></p>
  <p>
    <input name="email" type="text" value="Inserisci e-mail..">
  </p>
  <p>
    <input type="submit" value="Invia il file">
  </p>
</form>

Codice:

upload.php
<?php
$file_name = $_FILES['upfile']['name'];
$file_temp = $_FILES['upfile']['tmp_name']; 
$file_type = $_FILES['upfile']['type'];
$file_size = $_FILES['upfile']['size'];
$testo = $_FILES['testo']['textarea'];
$nome = $_FILES['nome']['text'];
$email = $_FILES['email']['text'];
$upload_dir = "/membri/canaleprotetto/host/";
$fgt = md5(date("dmyGis").$file_name.$file_size);

if (!is_uploaded_file($_FILES["upfile"]["tmp_name"])) {
    echo "File non inserito (".$_FILES["upfile"]["error"].")";
}
else {
	$ext = explode (".", $file_name);
	$file_name = $fgt.".".$ext[count($ext)-1];
	  
	$st="<a href=\"http://canaleprotetto.altervista.org/upload/$file_name\">$file_name</a>";
      $su="<BR>\n";

	$op_db = fopen("/membri/canaleprotetto/db.html","a+");
	$fpx = fputs($op_db,$nome,$email,$st,$testo,$su);
	fclose($op_db);

	echo "File inserito con successo!<br />Ecco il link: http://canaleprotetto.altervista.org/upload/$file_name";
	copy ($file_temp,"$upload_dir/$file_name");
}
php?>

il file lo uppa tranquillamente sulla cartella host, però non mi stampa nulla nel file db.html!

grazie mille!!

[mythologia]

Prova a cambiare:

$fpx = fputs($op_db,$nome,$email,$st,$testo,$su);

con:

$fpx = fputs($op_db,$nome . $email . $st . $testo . $su);

[andreafallico]

Devi fare così:

Codice PHP:

<?php
$file_name = $_FILES['upfile']['name'];
$file_temp = $_FILES['upfile']['tmp_name'];
$file_type = $_FILES['upfile']['type'];
$file_size = $_FILES['upfile']['size'];
$testo = strip_tags($_POST['testo']);
$nome = strip_tags($_POST['nome']);
$email = strip_tags($_POST['email']);
$upload_dir = "host/";
$fgt = md5(date("dmyGis").$file_name.$file_size);
if(!is_uploaded_file($_FILES["upfile"]["tmp_name"])){
echo "File non inserito (".$_FILES["upfile"]["error"].")";
}
else {
$ext = explode (".", $file_name);
$file_name = $fgt.".".$ext[count($ext)-1];
$st = "<a href=\"http://canaleprotetto.altervista.org/upload/$file_name\">$file_name</a>";
$su="<BR>\n";

$op_db = fopen("db.html","a+");
$fpx = fputs($op_db,$nome.$email.$st.$testo.$su);
fclose($op_db);
echo "File inserito con successo!<br />Ecco il link: http://canaleprotetto.altervista.org/upload/$file_name";
copy ($file_temp,"$upload_dir/$file_name");
}
?>

[canaleprotetto]

grazie per le risoste, m potete dare una piccola speiegazione?

poi avrei un piccolo favore da chiedervi, è possibile il titolo del file modificando l'm5 di questa stringa:

$fgt = md5(date("dmyGis").$file_name.$file_size);

mi spiego meglio con questo script fa l'md5 del file_name e file_size e mi esce un file con il titolo grandissimo, non c'è una soluzione che mi dia un md5 più piccolo almeno di 5caratteri!

[mythologia]

L'unica soluzione sarebbe non usare l'md5.

[canaleprotetto]

ragazzi :( mi da sempre lo stesso errore; inserisco il file nell'upload,mi dice che il file è stato caricato con il relativo link, infatti se vado nella cartella host c'è il mio file però non mi scrive nulla sul file db.html!da cosa può dipendere?

[andreafallico]

Ti da' qualche errore?
Ma almeno, se il file db.html non esiste, lo crea?
Io l'avevo provato e funziona; hai provato quello che ho scritto io?

[canaleprotetto]

Ti da' qualche errore?
Ma almeno, se il file db.html non esiste, lo crea?
Io l'avevo provato e funziona; hai provato quello che ho scritto io?

si l'ho provato quello che mi hai scritto!il file lo crea,però come già detto non scrive nulla dentro!

ti chiedo scusa, funziona tutto!non trovavo i file perche lo creava nella cartella dove c'è il file upload.php e non nella root principale :P



gazie mille :)

Ragazzi salve,
ho provato questo script ma purtroppo non mi funziona...

Non mi inserisce i file nella cartella (in questo caso chiamata files)ma nel db.html me li registra come uploadati.

Per quanto riguarda la disposizione ho una cartella nella "root" dell'hosting
chiamata Up e dentro ho i vari file + la cartella dove dovrebbero essere destinati i file uploadati...

Dopo aver effettuato l'upload mi da questo errore:

Warning: copy() [function.copy]: open_basedir restriction in effect. File(/tmp/phpeMMRIj) is not within the allowed path(s): (/membri/theo/www/:/membri/theo/session) in /membri/theo/www/Up/upload.php on line 24

Ho provato sia su altervista che su un altro hosting gratuito ma niente...
Suggerimenti?
Grazie

[canaleprotetto]

a me funziona ho pure fatto delle modifiche!!

Ad upload_dir io ho messo questo indirizzo /membri/psptuto/host/...
ma questo indirizzo implica che il file upload e compagnia varia,siano nella root principale?
L'errore mi dice che si tratta della linea 24( copy ($file_temp,"$upload_dir/$file_name"))...
inoltre ho visto ora che quando faccio l'upload mi da anche il nome completamente diverso dal file uploadato...
Dopo Riproverò...

[mythologia]

Perchè aggiungi /host/?

[andreafallico]

Se ti può essere utile, leggi qui.

Ok andrea sono riuscito...
GRAZIE


p.s.è normale che il nome del file originale è diverso da quello uploadato?

[andreafallico]

Quale script stai utilizzando?

[Xsescott]

non c'è una soluzione che mi dia un md5 più piccolo almeno di 5caratteri!

potresti fare na cosa del genere:

Codice PHP:

<?php
$alfa = "abcdefghilmnopqrstuvz1234567890";
$num_char = 8;
$new_str = "";
for($i=0;$i<$num_char;$i++){
$tmp = (int)$num_char / 2;
if($i == $tmp)
$new_char .= "-";
$new_char .= $alfa[rand(0,30)];
}
echo $new_char.rand(0,9999);
?>

Quale script stai utilizzando?

Quello scritto da voi...

[andreafallico]

Ok andrea sono riuscito...
GRAZIE


p.s.è normale che il nome del file originale è diverso da quello uploadato?

Se vuoi il nome del file originale devi eliminare questo:

Codice PHP:

$ext = explode (".", $file_name);
$file_name = $fgt.".".$ext[count($ext)-1];


[canaleprotetto]

visto che lo script era per le mie esigenze, l'ho voluto fare così!cmq l'ho eliminato anche io levando l'md5!!

Edit: ragazzi vorrei inserire dei piccoli comandi però non mi escono;
vorrei prima di tutto imostare se le variabili $nome, $emaile $testo sono vuote mi esce un errore quindi ho messo delle variabili ELSEIF:

sotto if
}
elseif($nome == 0){
echo "Dati non inseriti!")";
}
elseif($email == 0){
echo "Dati non inseriti!")";
}
elseif($testo == 0){
echo "Dati non inseriti!")";
}
e infini l'else

giusto?

infine vorrei mettere un'esclusione sulle estensioni dei file da inserire, non ermettendo l'hosting di file html,php,htm,php3,php4,php5,ecc! volevo mettere un ARRAY, quindi devo mettere prima una variabile, poi un'altro elseif:

in alto inserisco la variabile:
$bbb = array ("html","htm","php","css","shtm","shtml","php3","p hp4","php5","hta","htc","xxhtml","js","asp","tpl") ;

infine inserisco l'elseif:
elseif($ext == $bbb){
echo "I file non si possono hostare!")";
}

però mi permette di hostare i seguenti file, e poi se compilo o non compilo le variabili $testo,$nome,$email mi esce sempre l'errore "Dati non inseriti!" da cosaa può dipendere?

[Xsescott]

metodi più semplici per creare una stringa random:
http://www.php.net/str_shuffle

[canaleprotetto]

vediamo se ho capito bene:

Codice PHP:

function random_passwd($bbb) {
$string = str_shuffle("html,htm,php");
}


giusto?

però il mio problema sta con gli if,elseif,else!

allora io ho uno script del genere:

(if)se non inserisco il file mi esce errore
(else)il file va hostato

io qui in mezzo devo mettere degl elseif che mi faciano:
(elseif)se $testo,$nome,$email è vuota, mi da errore
(elseif)se $ext è uguale a php,html,htm , mi da errore

però non capisco perche mi dia errore!

Codice PHP:

<?php
$file_name = $_FILES['upfile']['name'];
$file_temp = $_FILES['upfile']['tmp_name'];
$file_type = $_FILES['upfile']['type'];
$file_size = $_FILES['upfile']['size'];
$testo = strip_tags($_POST['testo']);
$nome = strip_tags($_POST['nome']);
$email = strip_tags($_POST['email']);
$bbb = "php,html,htm";
$upload_dir = "host/";
$fgt = md5(date("dmyGis").$file_name.$file_size);
if(!is_uploaded_file($_FILES["upfile"]["tmp_name"])){
echo "File non inserito (".$_FILES["upfile"]["error"].")";
}
elseif ($testo == 0) {
echo "errore";
}
elseif ($nome == 0) {
echo "errore";
}
elseif ($email == 0) {
echo "errore";
}
elseif ($ext == $bbb) {
echo "errore";
}
else {
$ext = explode (".", $file_name);
$file_name = $fgt.".".$ext[count($ext)-1];
$st = "<a href=\"http://canaleprotetto.altervista.org/upload/$file_name\">$file_name</a>";
$su="<BR>\n";

$op_db = fopen("db.html","a+");
$fpx = fputs($op_db,$nome.$email.$st.$testo.$su);
fclose($op_db);
echo "File inserito con successo!<br />Ecco il link: http://canaleprotetto.altervista.org/upload/$file_name";
copy ($file_temp,"$upload_dir/$file_name");
}
?>

ho provato anche ad utilizzare l'array, ma non ci riesco:

Codice PHP:

//array estensioni non concesse
$bbb = array (
"html",
"htm",
"php",
"css",
"shtm",
"shtml",
"php3",
"php4",
"php5",
"hta",
"htc",
"xxhtml",
"js",
"asp",
"tpl"
);

if(!is_uploaded_file($_FILES["upfile"]["tmp_name"])){
echo "Errore: File non inserito (".$_FILES["upfile"]["error"].")!";
}
if(in_array(".$ext", $bbb)){
echo "Errore: Estensione non supportata!";
}
else {
$ext = explode (".", $file_name);
....}


dove sbaglio?

[andreafallico]

Per controllare l'estensione dei file dai una lettura qui.
Però anche con le immagini possono fare un iniezione di codice php.

Ma perchè complicarsi la vita con funzioni e tutto, quando per trovare l'estensione basta:

Codice PHP:

strrchr(__FILE__, '.')


In questo caso andrà passato il valore dell'array $_FILES.

[canaleprotetto]

Per controllare l'estensione dei file dai una lettura qui.
Però anche con le immagini possono fare un iniezione di codice php.

carissimo AndreaFallico non mi apre il link!!

canaleprotetto hai letto il mio post?

[canaleprotetto]

canaleprotetto hai letto il mio post?

si certo, però questo script è un mio lavoro che ho fatto da piccolo e visto che non sono bravo con il php vorrei almeno renderlo decentee :P

si certo, però questo script è un mio lavoro che ho fatto da piccolo e visto che non sono bravo con il php vorrei almeno renderlo decentee :P

Che c'entra?
Quindi secondo il tuo ragionamento più ha funzioni, righe di codice, vuol dire che è meglio?
Hai mai sentito parlare di memoria? Tempo di esecuzione dello script? Avere 30 righe di codice quando ne puoi avere 5 non è meglio.
Con quello che ti ho scritto io ti eviti un sacco di ocndizioni e una o più funzioni che non ti servono.

[Xsescott]

vediamo se ho capito bene:

Codice PHP:

function random_passwd($bbb) {
$string = str_shuffle("html,htm,php");
}


giusto?

però il mio problema sta con gli if,elseif,else!


[/PHP]

dove sbaglio?

spe, tu hai detto che non volevi usare md5 perchè troppo lungo (quindi mi domando, sei sicuro che devi per forza usare md5 per questa cosa?)
md5 è un algoritmo one way per calcolare di solito il digest di un file, ed utilizzato per verificare l'integrità di un file o per nascondere le password nel database evitando di vederle in chiaro.

Se tu hai solo il bisogno di avere un nome più casuale possibile puoi usare quel metodo che ho indicato su. Comunque ce ne sono tanti.

per l'estensione, prova a fare il controllo cosi:

Codice PHP:

if(in_array($ext[count($ext)-1], $bbb)){
echo "Errore: Estensione non supportata!";
}


il alternativa puoi usare la funzione suggerita da biccheddu, facendo una cosa simile:

Codice PHP:

if(in_array( substr(strrchr($file_name, '.'), 1),$bbb)){
echo "Errore: Estensione non supportata!";
}


oppure per un controllo piu SICURO:

Codice PHP:

$escludi = array("image/gif","image/pjpeg","image/jpeg");
if(in_array($file_type,$escludi)){
echo "Errore: Estensione non supportata!";
}


Per i valori da mettere nell'array guarda qui:
http://www.asciitable.it/mimetypes.asp

l'ultimo tipo di controllo è più accurato perchè non fà un controllo solo sull'estensione del file ma sul tipo di file stesso ;)

[canaleprotetto]

scusa Biccheddu avevo capito male, grazie a Xsesott ho capito quel che volevi dire!!! !

grazie ad entrambi.. siete mitici!


Xsesott scusami ma non trovo il MIME Types per l'estensione PHP :( dove lo posso trovare?