Mechanizm uploadu plików w PHP

Praca indywidualna – 4–6 stron A4

O czym jest to opracowanie?

📤 Mechanizm uploadu plików w PHP

Opracowanie dotyczy mechanizmu przesyłania plików z przeglądarki na serwer w aplikacjach PHP. Upload plików to funkcjonalność wykorzystywana w niemal każdej aplikacji webowej – od prostych formularzy kontaktowych z załącznikami, przez systemy CMS, po platformy e-commerce. Jest to również jeden z najbardziej niebezpiecznych wektorów ataku, jeśli nie zostanie odpowiednio zabezpieczony. Praca koncentruje się na superglobalnej tablicy $_FILES, funkcji move_uploaded_file() oraz kompleksowej walidacji przesyłanych plików.

Dlaczego warto to znać?

Upload plików jest powszechną funkcjonalnością, ale też źródłem wielu zagrożeń:

Praktyczne zastosowanie – awatary, dokumenty, zdjęcia produktów, CV
Bezpieczeństwo – niewłaściwa walidacja może prowadzić do przejęcia serwera (RCE)
Wymogi biznesowe – większość aplikacji wymaga tej funkcjonalności
Egzaminy zawodowe – temat często pojawia się na INF.03/INF.04
Podstawa dla zaawansowanych tematów – przetwarzanie obrazów, integracja z chmurą

Cel opracowania

Zrozumieć mechanizm przesyłania plików HTTP (multipart/form-data)
Poznać strukturę tablicy $_FILES i jej elementy
Opanować walidację typu MIME, rozszerzenia i rozmiaru pliku
Zidentyfikować zagrożenia związane z uploadem (RCE, path traversal)
Wdrożyć bezpieczny upload w praktycznym przykładzie

Zakres obowiązkowy (MUST HAVE)

W pracy muszą znaleźć się następujące elementy:

Mechanizm przesyłania plików

Formularz HTML – atrybut enctype="multipart/form-data"
Tablica $_FILES – struktura i znaczenie kluczy (name, type, tmp_name, error, size)
Katalog tymczasowy – gdzie PHP przechowuje uploadowane pliki
move_uploaded_file() – przeniesienie pliku do docelowej lokalizacji

Walidacja plików

Walidacja rozszerzenia – whitelist dozwolonych rozszerzeń
Walidacja typu MIME – mime_content_type() lub finfo_file()
Walidacja rozmiaru – upload_max_filesize, post_max_size
Kody błędów – UPLOAD_ERR_OK, UPLOAD_ERR_INI_SIZE, itd.

Zagrożenia bezpieczeństwa

Remote Code Execution (RCE) – wykonanie złośliwego kodu na serwerze
Path traversal – manipulacja ścieżką zapisu
Denial of Service – wyczerpanie miejsca na dysku

Wymagane przykłady kodu

<!DOCTYPE html>
<html lang="pl">
<head>
    <meta charset="UTF-8">
    <title>Upload pliku</title>
</head>
<body>
    <h1>Prześlij plik</h1>

    <!-- WAŻNE: enctype="multipart/form-data" jest OBOWIĄZKOWY -->
    <form action="upload.php" method="POST" enctype="multipart/form-data">
        <label for="file">Wybierz plik (max 2MB, tylko obrazy):</label>
        <input type="file" name="uploaded_file" id="file" accept="image/*" required>
        <button type="submit">Wyślij</button>
    </form>
</body>
</html>

<?php
// Konfiguracja
$uploadDir = __DIR__ . '/uploads/';
$maxFileSize = 2 * 1024 * 1024; // 2MB
$allowedTypes = ['image/jpeg', 'image/png', 'image/gif'];
$allowedExtensions = ['jpg', 'jpeg', 'png', 'gif'];

// Sprawdzenie czy plik został przesłany
if (!isset($_FILES['uploaded_file'])) {
    die('Nie przesłano pliku.');
}

$file = $_FILES['uploaded_file'];

// Sprawdzenie błędów uploadu
if ($file['error'] !== UPLOAD_ERR_OK) {
    die('Błąd uploadu: ' . $file['error']);
}

// Walidacja rozmiaru
if ($file['size'] > $maxFileSize) {
    die('Plik jest za duży. Maksymalny rozmiar: 2MB');
}

// Walidacja rozszerzenia (whitelist)
$extension = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
if (!in_array($extension, $allowedExtensions)) {
    die('Niedozwolone rozszerzenie pliku.');
}

// Walidacja typu MIME (nie ufaj $_FILES['type']!)
$finfo = new finfo(FILEINFO_MIME_TYPE);
$mimeType = $finfo->file($file['tmp_name']);
if (!in_array($mimeType, $allowedTypes)) {
    die('Niedozwolony typ pliku.');
}

// Generowanie bezpiecznej nazwy pliku
$newFileName = bin2hex(random_bytes(16)) . '.' . $extension;
$destination = $uploadDir . $newFileName;

// Przeniesienie pliku
if (move_uploaded_file($file['tmp_name'], $destination)) {
    echo "Plik został przesłany: " . htmlspecialchars($newFileName);
} else {
    die('Błąd podczas zapisywania pliku.');
}
?>

<?php
// Struktura tablicy $_FILES
print_r($_FILES['uploaded_file']);

/*
Array
(
    [name] => zdjecie.jpg          // Oryginalna nazwa pliku
    [type] => image/jpeg           // Typ MIME (z przeglądarki - NIE UFAĆ!)
    [tmp_name] => /tmp/phpXXXXXX   // Ścieżka do pliku tymczasowego
    [error] => 0                   // Kod błędu (0 = OK)
    [size] => 123456               // Rozmiar w bajtach
)
*/

// Kody błędów uploadu
$errorCodes = [
    UPLOAD_ERR_OK         => 'Sukces',
    UPLOAD_ERR_INI_SIZE   => 'Plik przekracza upload_max_filesize',
    UPLOAD_ERR_FORM_SIZE  => 'Plik przekracza MAX_FILE_SIZE z formularza',
    UPLOAD_ERR_PARTIAL    => 'Plik przesłany częściowo',
    UPLOAD_ERR_NO_FILE    => 'Nie przesłano pliku',
    UPLOAD_ERR_NO_TMP_DIR => 'Brak katalogu tymczasowego',
    UPLOAD_ERR_CANT_WRITE => 'Nie można zapisać na dysk',
    UPLOAD_ERR_EXTENSION  => 'Rozszerzenie PHP zatrzymało upload'
];
?>

Zakres rozszerzony (NICE TO HAVE)

Dla osób chcących pogłębić temat:

Upload wielu plików – obsługa tablicy plików
Walidacja zawartości obrazu – getimagesize()
Przechowywanie w chmurze – integracja z S3, Google Cloud Storage
Progress bar – śledzenie postępu uploadu (AJAX)
Przetwarzanie obrazów – generowanie miniatur (GD, Imagick)
Antywirus – skanowanie przesyłanych plików

Proponowana struktura pracy

Wstęp – rola uploadu plików w aplikacjach webowych
Mechanizm HTTP – multipart/form-data, nagłówki
Formularz HTML – atrybut enctype, input type file
PHP i $_FILES – struktura tablicy, tmp_name
Walidacja – typ MIME, rozszerzenie, rozmiar
Zagrożenia – RCE, path traversal, DoS
Bezpieczna implementacja – kompletny przykład
Dobre praktyki – podsumowanie rekomendacji

Pytania kontrolne

Autor pracy powinien potrafić odpowiedzieć na pytania:

Dlaczego atrybut enctype="multipart/form-data" jest wymagany?
Czym jest $_FILES['file']['tmp_name'] i dlaczego nie można mu ufać bezpośrednio?
Dlaczego nie należy ufać $_FILES['file']['type']?
Co to jest atak RCE i jak może być przeprowadzony przez upload?
Jak działa funkcja move_uploaded_file() i dlaczego jest bezpieczniejsza niż copy()?
Czym jest whitelist rozszerzeń i dlaczego jest lepsza od blacklisty?
Jak zabezpieczyć się przed path traversal w nazwie pliku?
Jakie ustawienia php.ini wpływają na upload plików?

Najczęstsze błędy

Zasoby do nauki

PHP: Handling file uploads Oficjalna dokumentacja PHP dotycząca uploadu plików

OWASP File Upload Wytyczne OWASP dotyczące bezpiecznego uploadu

PHP: move_uploaded_file Dokumentacja funkcji move_uploaded_file()

Fileinfo extension Rozszerzenie PHP do wykrywania typu MIME