i
Size: a a a
2020 November 18
АГ
Потому что мне не интересен php и я спросил у вас про видео уроки?
php видео уроки гуглил? что находит?
АГ
хочешь, но в падлу?) норм.
АГ
да все, забей. не отвечай. не будет ничего хорошего дальше.
AP
Буйный
АГ
ща оба в бан пойдете) астанавитесь)
a
<?php
session_start();
require_once 'connect.php';
$path = 'uploads/' . time() . $_FILES['userpic']['name'];
move_uploaded_file($_FILES['userpic']['tmp_name'], '../' . $path);
mysqli_query($connect, "UPDATE
$_SESSION['user']['userpic'] = $path;
header('Location: ../profile.php');
session_start();
require_once 'connect.php';
$path = 'uploads/' . time() . $_FILES['userpic']['name'];
move_uploaded_file($_FILES['userpic']['tmp_name'], '../' . $path);
mysqli_query($connect, "UPDATE
users SET userpic = '$path' WHERE id_user = " . $_SESSION['user']['id_user']);$_SESSION['user']['userpic'] = $path;
header('Location: ../profile.php');
1. когда грузишь файлы в папку, надо фильтровать имя. первое правило проверки имён - используй только белый список. например имя пользователя
если файл грузит пользователь и имя не важно, то его надо выкинуть на помойку и делать новое самому, ну либо по жести фильтровать и смотреть что такого уже нет.
расширение можно вытащить из имени или "магическим способом" определить самому. белый список миме-типов:
помни, пользователь в файл может понаписать что угодно, первым делом он загрузит файл с именем
2. ради бога, изучи как надо правильно использовать prepared statements. За
^[a-zA-Z0-9_-]{3,30}$ - хватит им этих символов.если файл грузит пользователь и имя не важно, то его надо выкинуть на помойку и делать новое самому, ну либо по жести фильтровать и смотреть что такого уже нет.
расширение можно вытащить из имени или "магическим способом" определить самому. белый список миме-типов:
image/jpeg image/png image/gif, по ним сохраняешь файл как .jpg/png/gif остальные - ошибка, загрузите нормальную картинку. и на размер пикчи тоже ограничение надо.помни, пользователь в файл может понаписать что угодно, первым делом он загрузит файл с именем
1.php и сломает тебе нахрен всё.2. ради бога, изучи как надо правильно использовать prepared statements. За
"... '$path' ..." в sql-запросе тебе надо "неуд" поставить.K
1. когда грузишь файлы в папку, надо фильтровать имя. первое правило проверки имён - используй только белый список. например имя пользователя
если файл грузит пользователь и имя не важно, то его надо выкинуть на помойку и делать новое самому, ну либо по жести фильтровать и смотреть что такого уже нет.
расширение можно вытащить из имени или "магическим способом" определить самому. белый список миме-типов:
помни, пользователь в файл может понаписать что угодно, первым делом он загрузит файл с именем
2. ради бога, изучи как надо правильно использовать prepared statements. За
^[a-zA-Z0-9_-]{3,30}$ - хватит им этих символов.если файл грузит пользователь и имя не важно, то его надо выкинуть на помойку и делать новое самому, ну либо по жести фильтровать и смотреть что такого уже нет.
расширение можно вытащить из имени или "магическим способом" определить самому. белый список миме-типов:
image/jpeg image/png image/gif, по ним сохраняешь файл как .jpg/png/gif остальные - ошибка, загрузите нормальную картинку. и на размер пикчи тоже ограничение надо.помни, пользователь в файл может понаписать что угодно, первым делом он загрузит файл с именем
1.php и сломает тебе нахрен всё.2. ради бога, изучи как надо правильно использовать prepared statements. За
"... '$path' ..." в sql-запросе тебе надо "неуд" поставить.Спасибо.)