使用常规的文件系统函数可能会创建安全漏洞。如果您在程序中这样做:
rename($source, $destination);
$source的值,他们就能够重命名(或移动!——rename还可以将文件移动到其他目录)PHP进程可以访问的任何文件。$destination,或者在文件被移动后以某种方式获得文件内容的访问权限,他们就可以利用这个漏洞来获取您的源代码,至少会泄露身份验证凭据。而且很容易想象这种情况发生:如果您接受用户上传并使它们通过URL可访问,这个功能已经内置在您的应用程序中。_uploaded_file函数的存在是为了帮助您陷入成功的深渊。$_FILES)已经基本上不需要使用move_uploaded_file。但不要忘记:
move_uploaded_files 是在 $_FILES 甚至不存在的时候引入的,而广泛使用 register_globals 而不是童话故事。$source 是在PHP应用程序中生成的,那么对你来说很好,你不需要使用 move_uploaded_file。但是这个功能并不是专门针对你或者你正在考虑的特定代码块的。 - Jon$_FILES的人口是PHP的一个特性。rename函数的第一个参数直接来自于$_FILES内部是因为你的代码而不是其他人的代码。此外,move_uploaded_file函数早在$_FILES出现之前就存在了,并且在那个时候,register_globals仍然存在。因此,今天看来它似乎并没有那么有用,但它已经存在很长时间了。 - Jonmove_uploaded_file 实际上会将您上传的文件从临时目录移动到服务器上的永久位置。是的,这很重要,因为您必须将文件移动到指定的服务器位置,对吧?
在这里检查 move_uploaded_file 的代码片段示例:
http://www.developphp.com/view_lesson.php?v=449
move_uploaded_file()确保安全,只允许移动通过PHP上传的文件。因此它是专门用于移动已上传文件的功能。 - Kalpesh您不应该使用rename函数,因为rename函数用于将现有文件重命名为新名称。而像move_uploaded_file和copy这样的函数实际上是用于将文件从tmp目录上传到目标目录。
rename()应该用于移动普通文件,而不是通过表单上传的文件。原因是有一个特殊的函数叫做move_uploaded_file(),它会检查文件是否已经被上传,然后再移动它 - 这可以防止人们试图入侵您的服务器以使私有文件可见。如果您愿意,您可以通过调用is_uploaded_file()函数来执行此检查。