Форум PHP

Что проверить и чего надо поптаться избежать в целях безопасности при загрузке файлов средствами PHP ?

А это уже не про безопасность - вот так ругается пхп при выводе массива print_r ($_FILES);

Array ( [file] => Array ( [name] => 1.JPG [type] => image/jpeg [tmp_name] => /var/tmp/php4WYPsG [error] => 0 [size] => 55666 ) ) Ошибка

Что это значит?

Да, и еще на локльном компе загрузка файла вообще не работает. Может директива какая отключена?

Надо обязатедьнно проверять что загружаешь, хотябы расширение,

Можно например удалить весь сайт

p.s. это я прочитал из книги "Практика создания web-сайтов"

Можно еще сигнатуру загруженного файла проверять. Чтоб не подсунули EXE вместо ZIP (например).

>чего опасаться?
Скриптов, загруженные файлы не должны выполняться на сервере ни при каких условиях и не включаться при помощи инструкций include, require, include_once, require_once.

Подсажите где прочесть подробно о загрузке файлов. Те материалы что у меня есть очень поверхностно описывают. и я не до конца не могу разобраться.

А что вас конкретно интересует? Возможно вас заинтересует тема по ссылке http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=391

На локальном при print_r($_FILES) - пишет Array() , а на хостинге пишет (см. выше ) какуюто ошибку.

а можно скрипт подсунуть вместо каринки? Если загружаються изображения и складываются в каталог на сервере, а потом выводятся <img src="bla bla bla">?

Можно, но только в том случае, если расширение файла "bla bla bla", воспринимается как PHP-скрипт. Т.е. <img src="image.php"> - сработает, а вот <img src="image.gif">, где image.gif - скрипт, уже нет.