Безопасная загрузка файлов в PHP: проверка, валидация, защита

<!-- Форма для загрузки одного файла -->
<form action="upload.php" method="post" enctype="multipart/form-data">
<label for="fileToUpload">Выберите файл для загрузки:</label>
<input type="file" name="fileToUpload" id="fileToUpload">
<input type="submit" value="Загрузить файл" name="submit">
</form>

<!-- Форма для загрузки нескольких файлов -->
<form action="upload_multiple.php" method="post" enctype="multipart/form-data">
<label for="filesToUpload">Выберите файлы для загрузки:</label>
<input type="file" name="filesToUpload[]" id="filesToUpload" multiple>
<input type="submit" value="Загрузить файлы" name="submit">
</form>

<!-- Форма с ограничением по типам файлов -->
<form action="upload_images.php" method="post" enctype="multipart/form-data">
<label for="imageFile">Выберите изображение:</label>
<input type="file" name="imageFile" id="imageFile" accept="image/*">
<input type="submit" value="Загрузить изображение" name="submit">
</form>

<form action="upload.php" method="post" enctype="multipart/form-data">
<label for="imageFile">Выберите изображение:</label>
<input type="file" name="imageFile" id="imageFile" accept="image/*" onchange="previewImage(this)">
<div id="imagePreview"></div>
<input type="submit" value="Загрузить изображение" name="submit">
</form>

<script>
function previewImage(input) {
var preview = document.getElementById('imagePreview');
preview.innerHTML = '';

if (input.files && input.files[0]) {
var reader = new FileReader();

reader.onload = function(e) {
var img = document.createElement('img');
img.src = e.target.result;
img.style.maxWidth = '300px';
preview.appendChild(img);
}

reader.readAsDataURL(input.files[0]);
}
}
</script>

// Структура $_FILES для одиночного файла
$_FILES['fileToUpload'] = [
'name' => 'document.pdf', // Оригинальное имя файла
'type' => 'application/pdf', // MIME-тип файла
'tmp_name' => '/tmp/php7A34.tmp', // Временный путь к файлу на сервере
'error' => 0, // Код ошибки (0 = нет ошибки)
'size' => 24580 // Размер файла в байтах
];

// Структура $_FILES для нескольких файлов
$_FILES['filesToUpload'] = [
'name' => [
0 => 'document1.pdf',
1 => 'image.jpg',
2 => 'spreadsheet.xlsx'
],
'type' => [
0 => 'application/pdf',
1 => 'image/jpeg',
2 => 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet'
],
'tmp_name' => [
0 => '/tmp/phpA34.tmp',
1 => '/tmp/phpB56.tmp',
2 => '/tmp/phpC78.tmp'
],
'error' => [
0 => 0,
1 => 0,
2 => 0
],
'size' => [
0 => 24580,
1 => 158600,
2 => 12500
]
];

// Обработка одиночного файла
if (isset($_POST['submit'])) {
// Проверяем, есть ли ошибки при загрузке
if ($_FILES['fileToUpload']['error'] === UPLOAD_ERR_OK) {
// Файл успешно загружен во временную директорию
$tmpName = $_FILES['fileToUpload']['tmp_name'];
$fileName = $_FILES['fileToUpload']['name'];
$fileSize = $_FILES['fileToUpload']['size'];
$fileType = $_FILES['fileToUpload']['type'];

// Путь для сохранения файла
$uploadDir = 'uploads/';
$destination = $uploadDir . basename($fileName);

// Перемещаем файл из временной директории в целевую
if (move_uploaded_file($tmpName, $destination)) {
echo "Файл успешно загружен!";
} else {
echo "Ошибка при сохранении файла.";
}
} else {
// Выводим сообщение в зависимости от кода ошибки
switch ($_FILES['fileToUpload']['error']) {
case UPLOAD_ERR_INI_SIZE:
echo "Файл превышает максимально допустимый размер.";
break;
case UPLOAD_ERR_FORM_SIZE:
echo "Файл превышает размер, указанный в форме.";
break;
case UPLOAD_ERR_PARTIAL:
echo "Файл был загружен только частично.";
break;
case UPLOAD_ERR_NO_FILE:
echo "Файл не был загружен.";
break;
default:
echo "Произошла ошибка при загрузке файла.";
}
}
}

// Обработка нескольких файлов
if (isset($_POST['submit'])) {
// Проходим по массиву файлов
$fileCount = count($_FILES['filesToUpload']['name']);
$uploadDir = 'uploads/';

for ($i = 0; $i < $fileCount; $i++) {
if ($_FILES['filesToUpload']['error'][$i] === UPLOAD_ERR_OK) {
$tmpName = $_FILES['filesToUpload']['tmp_name'][$i];
$fileName = $_FILES['filesToUpload']['name'][$i];
$destination = $uploadDir . basename($fileName);

if (move_uploaded_file($tmpName, $destination)) {
echo "Файл $fileName успешно загружен.<br>";
} else {
echo "Ошибка при сохранении файла $fileName.<br>";
}
} else {
echo "Ошибка при загрузке файла #{$i}.<br>";
}
}
}

function validateAndSaveImage($file) {
// Проверка на ошибки загрузки
if ($file['error'] !== UPLOAD_ERR_OK) {
return [
'success' => false,
'message' => 'Ошибка при загрузке файла: ' . getUploadErrorMessage($file['error'])
];
}

// Проверка размера файла (не более 2MB)
$maxSize = 2 * 1024 * 1024; // 2MB в байтах
if ($file['size'] > $maxSize) {
return [
'success' => false,
'message' => 'Файл слишком большой. Максимальный размер: 2MB.'
];
}

// Проверка типа файла
$allowedTypes = ['image/jpeg', 'image/png', 'image/gif'];
$finfo = new finfo(FILEINFO_MIME_TYPE);
$fileType = $finfo->file($file['tmp_name']);

if (!in_array($fileType, $allowedTypes)) {
return [
'success' => false,
'message' => 'Недопустимый тип файла. Разрешены только JPEG, PNG и GIF.'
];
}

// Проверка, что файл действительно является изображением
$imageInfo = getimagesize($file['tmp_name']);
if ($imageInfo === false) {
return [
'success' => false,
'message' => 'Загруженный файл не является изображением.'
];
}

// Создание безопасного имени файла
$fileExtension = pathinfo($file['name'], PATHINFO_EXTENSION);
$newFileName = md5(uniqid() . $file['name']) . '.' . $fileExtension;

// Путь для сохранения файла (вне веб-корня)
$uploadDirectory = __DIR__ . '/../storage/uploads/images/';

// Создание директории, если она не существует
if (!is_dir($uploadDirectory)) {
mkdir($uploadDirectory, 0755, true);
}

$destination = $uploadDirectory . $newFileName;

// Сохранение файла
if (!move_uploaded_file($file['tmp_name'], $destination)) {
return [
'success' => false,
'message' => 'Не удалось сохранить файл.'
];
}

// Возвращаем информацию об успешной загрузке
return [
'success' => true,
'message' => 'Файл успешно загружен',
'fileName' => $newFileName,
'filePath' => $destination
];
}

// Вспомогательная функция для получения текста ошибки
function getUploadErrorMessage($errorCode) {
switch ($errorCode) {
case UPLOAD_ERR_INI_SIZE:
return 'Файл превышает максимально допустимый размер, указанный в php.ini.';
case UPLOAD_ERR_FORM_SIZE:
return 'Файл превышает размер, указанный в форме.';
case UPLOAD_ERR_PARTIAL:
return 'Файл был загружен только частично.';
case UPLOAD_ERR_NO_FILE:
return 'Файл не был загружен.';
case UPLOAD_ERR_NO_TMP_DIR:
return 'Отсутствует временная директория для загрузки.';
case UPLOAD_ERR_CANT_WRITE:
return 'Не удалось записать файл на диск.';
case UPLOAD_ERR_EXTENSION:
return 'Загрузка файла была остановлена PHP-расширением.';
default:
return 'Неизвестная ошибка при загрузке файла.';
}
}

// Пример использования
if (isset($_POST['submit'])) {
$result = validateAndSaveImage($_FILES['imageFile']);

if ($result['success']) {
echo "Успех: " . $result['message'];
// Сохраняем информацию о файле в базу данных или сессию
$_SESSION['uploadedImage'] = $result['fileName'];
} else {
echo "Ошибка: " . $result['message'];
}
}

# Запрет выполнения PHP-файлов в директории загрузок
<Directory "/path/to/uploads">
php_flag engine off
AddHandler cgi-script .php .phtml .php3
Options -ExecCGI
</Directory>

# Запрет доступа к определённым типам файлов
<FilesMatch "\.(php|phtml|php3|php4|php5|php7|phps)$">
Order Allow,Deny
Deny from all
</FilesMatch>

<!-- HTML-форма -->
<form id="uploadForm" enctype="multipart/form-data">
<input type="file" name="files[]" id="fileInput" multiple>
<button type="button" id="uploadButton">Загрузить</button>
<div id="progressBar" style="display:none; width:300px; border:1px solid #ccc;">
<div id="progressBarFill" style="background-color:#4CAF50; height:20px; width:0%;"></div>
</div>
<div id="uploadStatus"></div>
</form>

<script>
// JavaScript для асинхронной загрузки
document.getElementById('uploadButton').addEventListener('click', function() {
const fileInput = document.getElementById('fileInput');
const progressBar = document.getElementById('progressBar');
const progressBarFill = document.getElementById('progressBarFill');
const uploadStatus = document.getElementById('uploadStatus');

// Проверка, выбраны ли файлы
if (fileInput.files.length === 0) {
uploadStatus.innerHTML = 'Пожалуйста, выберите файлы для загрузки.';
return;
}

const formData = new FormData();

// Добавление всех выбранных файлов
for (let i = 0; i < fileInput.files.length; i++) {
formData.append('files[]', fileInput.files[i]);
}

const xhr = new XMLHttpRequest();

// Обработка прогресса загрузки
xhr.upload.addEventListener('progress', function(e) {
if (e.lengthComputable) {
const percentComplete = (e.loaded / e.total) * 100;
progressBar.style.display = 'block';
progressBarFill.style.width = percentComplete + '%';
uploadStatus.innerHTML = 'Загрузка: ' + Math.round(percentComplete) + '%';
}
});

// Обработка завершения загрузки
xhr.addEventListener('load', function() {
if (xhr.status === 200) {
const response = JSON.parse(xhr.responseText);
if (response.success) {
uploadStatus.innerHTML = response.message + '<br>Загружено файлов: ' + response.filesUploaded;
} else {
uploadStatus.innerHTML = 'Ошибка: ' + response.message;
}
} else {
uploadStatus.innerHTML = 'Ошибка сервера: ' + xhr.status;
}
});

// Обработка ошибок
xhr.addEventListener('error', function() {
uploadStatus.innerHTML = 'Произошла ошибка при загрузке файлов.';
});

// Отправка запроса
xhr.open('POST', 'async_upload.php', true);
xhr.send(formData);
});
</script>

// async_upload.php
header('Content-Type: application/json');

$response = [
'success' => false,
'message' => '',
'filesUploaded' => 0,
'files' => []
];

// Проверка наличия файлов
if (empty($_FILES['files'])) {
$response['message'] = 'Нет файлов для загрузки.';
echo json_encode($response);
exit;
}

// Обработка каждого файла
$uploadDir = __DIR__ . '/uploads/';
$filesUploaded = 0;
$errors = [];

// Создание директории, если она не существует
if (!is_dir($uploadDir)) {
mkdir($uploadDir, 0755, true);
}

foreach ($_FILES['files']['name'] as $i => $name) {
if ($_FILES['files']['error'][$i] === UPLOAD_ERR_OK) {
// Безопасное имя файла
$fileExtension = pathinfo($name, PATHINFO_EXTENSION);
$newFileName = md5(uniqid() . $name) . '.' . $fileExtension;
$destination = $uploadDir . $newFileName;

// Перемещение файла
if (move_uploaded_file($_FILES['files']['tmp_name'][$i], $destination)) {
$filesUploaded++;
$response['files'][] = [
'originalName' => $name,
'savedAs' => $newFileName,
'size' => $_FILES['files']['size'][$i]
];
} else {
$errors[] = "Не удалось сохранить файл $name";
}
} else {
$errors[] = "Ошибка при загрузке файла $name: " . $_FILES['files']['error'][$i];
}
}

// Формирование ответа
if ($filesUploaded > 0) {
$response['success'] = true;
$response['filesUploaded'] = $filesUploaded;
$response['message'] = 'Файлы успешно загружены.';

if (!empty($errors)) {
$response['message'] .= ' Но были ошибки: ' . implode(', ', $errors);
}
} else {
$response['message'] = 'Не удалось загрузить файлы: ' . implode(', ', $errors);
}

echo json_encode($response);

/**
* Создает миниатюру из загруженного изображения
* 
* @param string $sourcePath Путь к оригинальному изображению
* @param string $targetPath Путь для сохранения миниатюры
* @param int $width Ширина миниатюры
* @param int $height Высота миниатюры
* @param bool $crop Обрезать изображение или сохранять пропорции
* @return bool Успех операции
*/
function createThumbnail($sourcePath, $targetPath, $width = 200, $height = 200, $crop = true) {
// Получение информации об изображении
list($sourceWidth, $sourceHeight, $sourceType) = getimagesize($sourcePath);

switch ($sourceType) {
case IMAGETYPE_JPEG:
$source = imagecreatefromjpeg($sourcePath);
break;
case IMAGETYPE_PNG:
$source = imagecreatefrompng($sourcePath);
break;
case IMAGETYPE_GIF:
$source = imagecreatefromgif($sourcePath);
break;
default:
return false;
}

// Расчет новых размеров
if ($crop) {
// Обрезка для точного соответствия размерам
$aspectRatio = $sourceWidth / $sourceHeight;
$newAspectRatio = $width / $height;

if ($aspectRatio > $newAspectRatio) {
// Исходное изображение шире
$cropWidth = $sourceHeight * $newAspectRatio;
$cropHeight = $sourceHeight;
$cropX = ($sourceWidth – $cropWidth) / 2;
$cropY = 0;
} else {
// Исходное изображение выше
$cropWidth = $sourceWidth;
$cropHeight = $sourceWidth / $newAspectRatio;
$cropX = 0;
$cropY = ($sourceHeight – $cropHeight) / 2;
}

// Создание промежуточного изображения для обрезки
$intermediate = imagecreatetruecolor($cropWidth, $cropHeight);
imagecopy($intermediate, $source, 0, 0, $cropX, $cropY, $cropWidth, $cropHeight);

// Создание финального изображения с нужными размерами
$target = imagecreatetruecolor($width, $height);
imagecopyresampled($target, $intermediate, 0, 0, 0, 0, $width, $height, $cropWidth, $cropHeight);

imagedestroy($intermediate);
} else {
// Масштабирование с сохранением пропорций
if ($sourceWidth / $width > $sourceHeight / $height) {
$newWidth = $width;
$newHeight = $sourceHeight * ($width / $sourceWidth);
} else {
$newHeight = $height;
$newWidth = $sourceWidth * ($height / $sourceHeight);
}

// Создание изображения с новыми размерами
$target = imagecreatetruecolor($newWidth, $newHeight);

// Сохранение прозрачности для PNG
if ($sourceType === IMAGETYPE_PNG) {
imagealphablending($target, false);
imagesavealpha($target, true);
$transparent = imagecolorallocatealpha($target, 255, 255, 255, 127);
imagefilledrectangle($target, 0, 0, $newWidth, $newHeight, $transparent);
}

imagecopyresampled($target, $source, 0, 0, 0, 0, $newWidth, $newHeight, $sourceWidth, $sourceHeight);
}

// Сохранение миниатюры
$success = false;
switch ($sourceType) {
case IMAGETYPE_JPEG:
$success = imagejpeg($target, $targetPath, 90);
break;
case IMAGETYPE_PNG:
$success = imagepng($target, $targetPath, 9);
break;
case IMAGETYPE_GIF:
$success = imagegif($target, $targetPath);
break;
}

// Освобождение памяти
imagedestroy($source);
imagedestroy($target);

return $success;
}

// PHP-обработчик для загрузки частей файла
// chunk_upload.php
$chunkDir = __DIR__ . '/chunks/';
$targetDir = __DIR__ . '/uploads/';

// Создание директорий, если они не существуют
if (!is_dir($chunkDir)) {
mkdir($chunkDir, 0755, true);
}
if (!is_dir($targetDir)) {
mkdir($targetDir, 0755, true);
}

// Получение параметров из запроса
$fileName = isset($_POST['fileName']) ? $_POST['fileName'] : '';
$chunkIndex = isset($_POST['chunkIndex']) ? intval($_POST['chunkIndex']) : 0;
$totalChunks = isset($_POST['totalChunks']) ? intval($_POST['totalChunks']) : 0;
$fileId = isset($_POST['fileId']) ? $_POST['fileId'] : '';

// Проверка наличия файла
if (empty($_FILES['chunk']) || $_FILES['chunk']['error'] != UPLOAD_ERR_OK) {
echo json_encode(['success' => false, 'message' => 'Ошибка при загрузке части файла.']);
exit;
}

// Сохранение части файла
$chunkFile = $chunkDir . $fileId . '_' . $chunkIndex;
if (move_uploaded_file($_FILES['chunk']['tmp_name'], $chunkFile)) {
// Проверка, все ли части загружены
if ($chunkIndex == $totalChunks – 1) {
// Все части загружены, объединяем их
$targetFile = $targetDir . $fileName;
$targetHandle = fopen($targetFile, 'wb');

for ($i = 0; $i < $totalChunks; $i++) {
$chunkFile = $chunkDir . $fileId . '_' . $i;
$chunkHandle = fopen($chunkFile, 'rb');
stream_copy_to_stream($chunkHandle, $targetHandle);
fclose($chunkHandle);
unlink($chunkFile); // Удаляем часть после объединения
}

fclose($targetHandle);

echo json_encode([
'success' => true,
'message' => 'Файл успешно загружен и собран.',
'fileName' => $fileName,
'filePath' => $targetDir . $fileName
]);
} else {
echo json_encode([
'success' => true,
'message' => 'Часть ' . ($chunkIndex + 1) . ' из ' . $totalChunks . ' успешно загружена.'
]);
}
} else {
echo json_encode(['success' => false, 'message' => 'Не удалось сохранить часть файла.']);
}