Napisałem sobie skrypt uploadu obrazków, jeszcze go nie testowałem, ale mam pytanie. Czy jest on dostatecznie dobrze zabezpieczony?

[PHP] pobierz, plaintext 
<?php
 
if(isset($_POST['send'])){
    $typy = array('image/gif', 'image/jpeg', 'image/png', 'image/jpg');
    if(!is_uploaded_file($_FILES['file'])){}
        echo "Wybierz plik.";
    } elseif(!in_array($_FILES['file']['type'], $typy, true)){
        echo "Nie dozwolony format pliku!";
        exit;
    } elseif(getimagesize($_FILES['file']['tmp_name'])[0]<1 or getimagesize($_FILES['file']['tmp_name'])[1]<1)){
        echo "Plik nie jest obrazkiem(minimalna wielkość 1px x 1px)";
        exit;
    } elseif($_FILES['file']['size']>256000){
      echo "Plik ma zbyt duży rozmiar";
    } else{
        $check=false;    
        while(!$check)    
        $randed = array(
        "r","h","k","y","4","p","q","w","n","2","8","a"
        )
        
        $i = 0;
        $kod = "";
        while($i<=4){
            $z = mt_rand(0,11);
            $kod .= $randed[$z];
        }
        if(!file_exists('files/'.$kod.$_FILES['file']['name'])){
        move_uploaded_file($_FILES['file']['tmp_name'], 'files/'.$kod.$_FILES['file']['name']);
        $check=true;
        } else{
            continue;
        }
    }
} else{
    echo "Upload, dozwolone pliki: JPG, PNG, GIF<br />";
    echo "<form action='".$SERVER['PHP_SELF']."' method='post' enctype='multipart/form-data'>";
    echo "<input type='hidden' name='MAX_FILE_SIZE' value='256000' />";
    echo "<input type='file' name='file' /><br />";
    echo "<input type='submit' name='send' />";
    echo "</form>";
}
 
?>
[PHP] pobierz, plaintext 

Miałem parę błędów, poprawiłem je, mimo wszystko uploaduje i za chwilę jest połączenie przerwane przez serwer. Co zrobiłem źle(błędy składni poprawiłem już)?

Ogólnie to parę błędów masz. np. co Ci daje pętla która tworzy cały czas tą samą tablice z tymi samymi danymi?
Sam kod jest zabezpieczony.

Kod jest nieczytelny, np.:

[PHP] pobierz, plaintext 
<?php
if(!is_uploaded_file($_FILES['file'])){}
       echo "Wybierz plik.";
?>
[PHP] pobierz, plaintext 

- co ma robić ten if?

Oducz się używania echo - używaj zmiennych - i po co exit jak używasz tych ifów, elseifów itp? Utniesz stronę w środku? Pomieszanie z poplątaniem - można to o wiele prościej zrobić, metodologia powinna być mniej więcej taka:

[PHP] pobierz, plaintext 
<?php
if(!in_array($_FILES['file']['type'], $typy)){$error[] = 'Niedozwolony typ pliku';}
if(){$error[] = 'coś tam';}
?>
[PHP] pobierz, plaintext 

- wszystkie błędy wrzucasz sobie np. do tablicy, a zanim np. zapiszesz plik na dysku sprawdzasz funkcją empty, czy tablica błędów jest pusta. Na samym końcu dopiero użyjesz echo - żeby wyświetlić błędy lub treść - dzięki temu masz kontrolę nad treścią i całość szybciej działa.

Co do sprawdzania:
- typ mime - ok
- rozmiar, rozdzielczość - ok
- zamiast unikatowej nazwy nadawaj po prostu numer kolejny, lub użyj microtime lub uniqid

Możesz jeszcze dla pewności użyć biblioteki GD - na forum były tematy, jak sprawdzić przy pomocy funkcji typu imagecopy, czy plik jest prawidłowym obrazkiem, dodać do niego znak wodny itp.

Tak jak pisałem błędy poprawiłem, ten z niekończącą się pętlą też. Wkleję nowy kod:

[PHP] pobierz, plaintext 
<?php
 
if(isset($_POST['send'])){
    $typy = array('image/gif', 'image/jpeg', 'image/png', 'image/jpg');
    $size = getimagesize($_FILES['file']['tmp_name']);
    if(!is_uploaded_file($_FILES['file']['tmp_name'])){
        echo "Wybierz plik.";
    } elseif(!in_array($_FILES['file']['type'], $typy, true)){
        echo "Nie dozwolony format pliku!";
        exit;
    } elseif($size[0]<1 or $size[1]<1){
        echo "Plik nie jest obrazkiem(minimalna wielkość 1px x 1px)";
        exit;
    } elseif($_FILES['file']['size']>256000){
      echo "Plik ma zbyt duży rozmiar";
    } else{
        $check=false;    
        while(!$check)    
        $randed = array(
        "r","h","k","y","4","p","q","w","n","2","8","a"
        );
        
        $i = 0;
        $kod = "";
        while($i<=4){
            $z = mt_rand(0,11);
            $kod .= $randed[$z];
            $i++;
        }
        if(!file_exists('files/'.$kod.$_FILES['file']['name'])){
         if(move_uploaded_file($_FILES['file']['tmp_name'], 'files/'.$kod.$_FILES['file']['name'])){
             echo "Plik wrzucony!";
         } else {
             echo "Błąd.";
         }
        $check=true;
        } else{
            continue;
        }
    }
} else{
    echo "Upload, dozwolone pliki: JPG, PNG, GIF<br />";
    echo "<form method='post' enctype='multipart/form-data'>";
    echo "<input type='hidden' name='MAX_FILE_SIZE' value='256000' />";
    echo "<input type='file' name='file' /><br />";
    echo "<input type='submit' name='send' />";
    echo "</form>";
}
 
?>
[PHP] pobierz, plaintext 

Echa i exity są tymczasowo, to miałby być sam silnik, layout w smarty. Gorzej, że gdy wybieram plik i wysyłam to nic się nie dzieje, a za chwilę mam "Połączenie przerwane przez serwer", na folder files nadałem chmod 777. Jakieś pomysły?

O matko. Coś ze mną nie tak, zamieniłem miejscami true i false i działa Dzięki wszystkim.