Witam,
mam kod jak poniżej.
Sprawdzanie pliku działa, ale dopiero po załadowaniu pliku.
Czy i jak można to zrobić PRZED rozpoczęciem uploadu na server ?
Po stronie servera/php, nie w JS.

[PHP] pobierz, plaintext 
<?php
$file_tmp = $_FILES['fileToUpload']['tmp_name'];
$file_name = $_FILES['fileToUpload']['name'];
$file_size = $_FILES['fileToUpload']['size'];
$targetPath = $_POST["sciezka"];
 
$extn = pathinfo($file_name, PATHINFO_EXTENSION);
$whitelist = 'doc|docx|xls|xlsx|xlsm|pdf|jpg|jpeg|gif|png';
$blacklist = 'php|php3|php4|phtml|exe';
$IE4_9 = preg_match('/(?i)msie [4-9]/',$_SERVER['HTTP_USER_AGENT']);
if( preg_match("/$blacklist$/i", $file_name) )	{
	$msg = $extn.' Rozszerzenie zabronione (blacklist)';
	if($IE4_9)	{	// if IE<=9
		echo "<script type='text/javascript' > parent.IEuploadError('".$msg."'); </script>"; 
		exit(0);
	}
	echo $msg;
	exit(0);
}
if( !preg_match("/$whitelist$/i", $file_name) )	{
	$msg = $extn.' Rozszerzenie niedozwolone (whitelist)';
	if($IE4_9)	{	// if IE<=9
		echo "<script type='text/javascript' > parent.IEuploadError('".$msg."'); </script>"; 
		exit(0);
	}
	echo $msg;
	exit(0);
}
 
if (is_uploaded_file($file_tmp)) {
	$plikBezSciezki = basename($file_name);
	move_uploaded_file($file_tmp, $targetPath.$plikBezSciezki);
	$wynik = 1; //echo "Plik zostł zładowany poprawnie...";
} else {
	$wynik = 0;	//echo "Plik nie został załadowany...";
}
echo $wynik;
?>
[PHP] pobierz, plaintext 

Nie da się. Trzeba wysłać plik, jak inaczej php ma go sprawdzić?

A niby jak serwer ma sprawdzic plik przed jego pobraniem?

Np. wysyłając (otrzymując) jedynie nazwę pliku przed właściwym uploadem ?

Tak czy siak musi to wyslac jakis kod js bo sam serwer sobie nie wysle.

Pozwolę sobie tylko wtrącić, że Twoja walidacja dosyć słaba jest.

Bo, ponieważ ?

Sprawdzasz tylko rozszerzenie pliku co znaczy dosłownie tyle co nic. Chyba każdy użytkownik komputera potrafi zmienić rozszerzenie pliku.

Ale po co miałby to robić, co zyskać ?
Bo ja tą swoją (słabą) walidację robię aby ktoś nie podrzucił skryptu np. php i go nie uruchomił.
Możesz pokazać swoją walidację - tą mocniejszą, co sprawdzasz ?

Nie ma czegoś takiego jak "moja". Tak się po prostu pliki waliduje. Oczywiście, jeszcze zależy od skali projektu, ale np.
- możesz sprawdzać mime-type choć tutaj sens mniej więcej taki jak przy rozszerzeniu, może ciutkę większy
- w przypadki obrazków, banalna metoda polegająca na sprawdzeniu co zwróci funkcja getimagesize

Poczytaj sobie też to (sprawdzasz pierwsze bity pliku):
http://www.mikekunz.com/image_file_header.html
http://stackoverflow.com/questions/3535231...file-validation

dokładnie tak jak pedro84 napisał, bo co z tego że wyśle Tobie plik o rozszerzeniu txt skoro mogę sobie w nim zmienić nagłówek i nic Ci, sprawdzenie samego rozszerzenia nie da

Fajne wskazówki, ale ja nie tylko waliduję obrazki - widać to po białej liście.
mime - sam wiesz ...
Jakieś inne dobre rady ?


ok, wyślesz plik z rozszerzeniem txt i co dalej z nim zrobisz ?
W sensie - czy coś złego możesz zrobić ?

Takie ciekawostki na temat getimagesize
Ta funkcja zbytnio nie nadaje się do walidacji obrazków.

http://gynvael.coldwind.pl/?id=223
http://gynvael.coldwind.pl/?id=224
http://gynvael.coldwind.pl/?id=235

Fajnym rozwiązaniem jest także sprawdzanie początkowych bajtów pliku
A dokładniej chodzi mi o sprawdzanie Magic Numbers

@edit: ups nie zauważyłem, że pedro84 już o tym wspominał

Sprawdzanie mime oraz rozszerzenia to może być tylko ew. dodatek.
Ponieważ obie rzeczy łatwo można podmienić