记一次尴尬的争论:html+php上传文件的两种判断方式

发布于 2018-06-29  19 次阅读


起因:学校有一个项目需要用到php上传并进行过滤XXXXXXXX.....

来自w3school的写法:

html表单:

对应的php:


来自DVWA(一个专门收集漏洞及解决方案的平台):

html表单:

对应的php:


W3school提供的只是简单的上传功能,DVWA提供的则是对上传文件进行的过滤,也就是"更安全的上传"

事情的起因:

我开始参考w3school上面的写了一份发给了学长,然后学长参考DVWA的给我进行修改,但是只修改了php部分 没有对表单进行修改,所以造成出错。

因为我习惯采用GET提交数据,所以直接把<input type="submit" name="Upload" value="Upload"> 这一行中name属性删掉(此处我并没有使用GET ),然后判断$_FILES["file"]["error"]来确定文件是否上传,但是学长是采用判断$_POST['Upload'],也就是判断用户是否点击上传按钮来进行判断,文件上传情况直接交给下面的过滤去做

但是我刚刚开始认为$_POST['Upload']是不可行的= =,因为我错误的理解成这个是对文件的判断,而不是对提交按钮的判断

 


教训:万事无绝对,要想少打脸,还得多学习...

Comments


请相信,你的指尖拥有改变世界的力量