Мел

Супер! Не верю глазам. РАБОТАЕТ! Пол-года назад ТАКОГО ПОНАВЕРТЕЛ (каждый раз новый путь к изображению, вначале скрипта куча проверок и удаление всех изображений кроме двух, т.к. при перезагрузке страницы изображения размножались и т.д. и т.п.) - сейчас обхохотаться можно, а, оказывается, можно было так просто. В общем - спасибо.

Из 2008-го. Да год назад я еще не знал, что такое HTML. Наверное не я один просматриваю старые топики по интересующей теме. Получается, что время идет, а людей интересуют все те же вопросы. Кпримеру, я ищу решение сегодня и надеюсь, что, если мое мнение в предидущем сообщении не верно или есть у кого-то еще решения, то меня обязательно поправят.

Раньше в обработчике данных формы делал проверку $_SERVER['HTTP_REFERER'], чтобы отфильтровать пришедших напрямую, а также вернуть пользователя при необходимости на предидущую страницу. Потом обнаружил, тестируя сайт на чужой машине через Maxthon, что алгоритм на ней не выполняется как планировалось - переменная $_SERVER['HTTP_REFERER'] не установлена. Охота ее использовать в данных целях моментально отпала. (Конечно, теоретически, это очень полезная вещь и от использования этой переменной в других, менее значимых, ситуациях, где на это можно закрыть глаза, я, конечно, не откажусь.) Но все же - с чем связана эта проблема? С какими настройками браузера? Или может с чем-то другим? Может кто-нибудь вел статистику по распространенности этого явления среди пользователей?

Но ведь не все пользовательские агенты отдают эту переменную. А если человеку важно, чтобы: "... И мне важно не только чтобы открывалась другая страница, но и чтобы пользователь, пришедший с другого сайта об этой функции ничего не знал..." , то, может, надежнее передать ключ, добавив его к URL, в ссылке на этом привелегированном сайте? А далее по тому же плану... А не побывав на привелегированном сайте, собственно, и про ссылку с ключом не узнаешь... Разве, что такую ссылку потом можно просто передать кому угодно. Наверное нужно взвесить, что более неприемлимо - клиенты, бортанутые из-за особенностей браузера, или непланируемое распространение ссылки (а также возможность ее копирования другими сайтами). В конце концов можно периодически менять ключ.

Спасибо D.S.Denton. Вроде все становится на свои места. Периодически забирать загруженные файлы - вроде как бы проще. Но все же, наверное, со временем придется более детально изучить "Отправку почты средствами PHP", т.к., видимо, просто mail() тут - ("отправляешь файлы после загрузки себе на мыло") - не обойтись.

Спасибо, D.S.Denton, за помощь! Вот только возник вопрос по поводу но сформулировать не получается. Дело в том, что загруженный пользователем файл (картинку или .doc), мне необходимо передать с сервера на свой жесткий диск для дальнейшего оффлайн использования.

... а потом по сигнатуре отфильтровать то, что разрешено ? Или может вообще не стоит заморачиваться, если пользователь не имеет возможности ни запустить свой файл, ни редактировать, ни что-либо с ним делать...

вот и надо проверять че он там посылает. И все же, достаточно ли проверить Mime-тип загруженного файла, или все гораздо "замороченней" ?

Scrum писал: Спасибо большое! Только не пойму какой раздел Безопасности имеется в виду? Я так понял: - Предполагается ситуация, когда веб-интерфейс, написанный на PHP, регулярно используется для работы с файлами, и настройки безопасности позволяют удалять файлы в домашнем каталоге. А если пользователь ничего не удаляет, а только посылает файлы на сервер..? PS: Никогда до этого не общался ни на одном форуме. Заранее прошу прощения, если что-то не так напечатается или еще чего...

А как этот файл (если, например, это документ WORD) встречать на сервере? Куда он пропишется???