phpfile-uploadphp-5.5

upload image in PHP5


I have this code in PHP to upload images to directory. The problem is: It's not uploading .png files.

Error: Você não enviou nenhum arquivo!

I don't know how to fix, already tried a lot of changes.

 <?php
        //Upload de arquivos
        // verifica se foi enviado um arquivo
        if(isset($_FILES['arquivo']['name']) && $_FILES["arquivo"]["error"] == 0)
        {
            echo "Você enviou o arquivo: <strong>" . $_FILES['arquivo']['name'] . "</strong><br />";
            echo "Este arquivo é do tipo: <strong>" . $_FILES['arquivo']['type'] . "</strong><br />";
            echo "Temporáriamente foi salvo em: <strong>" . $_FILES['arquivo']['tmp_name'] . "</strong><br />";
            echo "Seu tamanho é: <strong>" . $_FILES['arquivo']['size'] . "</strong> Bytes<br /><br />";

            $arquivo_tmp = $_FILES['arquivo']['tmp_name'];
            $nome = $_FILES['arquivo']['name'];

            // Pega a extensao
            $extensao = strrchr($nome, '.');

            // Converte a extensao para mimusculo
            $extensao = strtolower($extensao);

            // Somente imagens, .jpg;.jpeg;.gif;.png
            // Aqui eu enfilero as extesões permitidas e separo por ';'
            // Isso server apenas para eu poder pesquisar dentro desta String
            if(strstr('.jpg;.png;.gif;.jpeg', $extensao))
            {
                // Cria um nome único para esta imagem
                // Evita que duplique as imagens no servidor.
                $novoNome = md5(microtime()) . $extensao;

                // Concatena a pasta com o nome
                $destino = 'images/uploads/logos/' . $novoNome;

                // tenta mover o arquivo para o destino
                if( @move_uploaded_file( $arquivo_tmp, $destino  ))
                {
                    echo "Arquivo salvo com sucesso em : <strong>" . $destino . "</strong><br />";
                    echo '<img src="' . $destino . '" />';
                    echo '<META http-equiv="refresh" content="0;URL=/administracao">';
                    exit;
                }
                else
                    echo "Erro ao salvar o arquivo. Aparentemente você não tem permissão de escrita.<br />";
            }
            else
                echo "Você poderá enviar apenas arquivos .jpg, .jpeg, .gif e .png.";
        }
        else
        {
            echo "Você não enviou nenhum arquivo!";
        }
    ?>

Can someone help me please?


Solution

  • You are checking if the string after . matches your accepted extensions. Like I mentioned in the comment section a user can easily change their file's extension and upload it regardless of the content.

    On PHP.net there is an article/comment about how to upload files, some safety issues are also explained briefly in code and solved. I think this part will do for you:

    // DO NOT TRUST $_FILES['upfile']['mime'] VALUE !!
    // Check MIME Type by yourself.
    $finfo = new finfo(FILEINFO_MIME_TYPE);
    if (false === $ext = array_search(
        $finfo->file($_FILES['upfile']['tmp_name']),
        array(
            'jpg' => 'image/jpeg',
            'png' => 'image/png',
            'gif' => 'image/gif',
        ),
        true
    )) {
        throw new RuntimeException('Invalid file format.'); // You can replace this with a custom message if you want. 
                                                            // Either that or catch it in higher level
    }
    

    Source to this code (PHP.net)

    Also make sure that your errors are enabled, so you can spot any PHP mistakes:

    error_reporting(E_ALL);         // Report ALL errors once they occur
    ini_set('display_errors', 1);   // Once they get reported, print them as HTML on your page
    

    One more suggestion, remove the error suppression @ in the move_uploaded_file if statement. If anything fails, you won't see why.

    So I think this saves you time, as well fixing your problem in a safe way. Good luck.