From 530d51a9c989ef101419b61daac657bf6534d5b3 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Daniel=20Mu=C3=B1oz=20Garcia?= <73303506+danimu03@users.noreply.github.com> Date: Thu, 13 May 2021 20:05:20 +0200 Subject: [PATCH] Debug --- panel_admin/includes/formAddFilm.php | 88 ++++++++++++++++++++++------ 1 file changed, 71 insertions(+), 17 deletions(-) diff --git a/panel_admin/includes/formAddFilm.php b/panel_admin/includes/formAddFilm.php index d38cf65..98f2a49 100644 --- a/panel_admin/includes/formAddFilm.php +++ b/panel_admin/includes/formAddFilm.php @@ -8,9 +8,10 @@ include_once('../assets/php/form.php'); class formAddFilm extends Form{ //Constants: const HTML5_EMAIL_REGEXP = '^[a-zA-Z0-9.!#$%&\'*+\/=?^_`{|}~-]+@[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?(?:\.[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?)*$'; + const EXTENSIONS = array('gif','jpg','jpe','jpeg','png'); public function __construct() { - $options = array("action" => "./?state=mf"); + $options = array("action" => "./?state=mf", 'enctype' => 'multipart/form-data'); parent::__construct('formAddFilm', $options); } @@ -23,7 +24,7 @@ class formAddFilm extends Form{ $errorDuration = self::createMensajeError($errores, 'duration', 'span', array('class' => 'error')); $errorLanguage = self::createMensajeError($errores, 'language', 'span', array('class' => 'error')); $errorDescription = self::createMensajeError($errores, 'description', 'span', array('class' => 'error')); - //$errorImage = self::createMensajeError($errores, 'image', 'span', array('class' => 'error')); + $errorImage = self::createMensajeError($errores, 'img', 'span', array('class' => 'error')); $html = '
'.$htmlErroresGlobales.'
@@ -32,7 +33,7 @@ class formAddFilm extends Form{ 
'.$errorDuration.'
'.$errorLanguage.'
'.$errorDescription.'
-
Imagen promocional:
+ 
'.$errorImage.'

@@ -46,7 +47,45 @@ class formAddFilm extends Form{ protected function procesaFormulario($datos){ $result = array(); - + $ok = count($_FILES) == 1 && $_FILES['archivo']['error'] == UPLOAD_ERR_OK; + if ( $ok ) { + $archivo = $_FILES['archivo']; + $nombre = $_FILES['archivo']['name']; + /* 1.a) Valida el nombre del archivo */ + $ok = $this->check_file_uploaded_name($nombre) && $this->check_file_uploaded_length($nombre) ; + + /* 1.b) Sanitiza el nombre del archivo + $ok = $this->sanitize_file_uploaded_name($nombre); + */ + + /* 1.c) Utilizar un id de la base de datos como nombre de archivo */ + + /* 2. comprueba si la extensión está permitida*/ + $ok = $ok && in_array(pathinfo($nombre, PATHINFO_EXTENSION), self::EXTENSIONS); + + /* 3. comprueba el tipo mime del archivo correspode a una imagen image/* */ + $finfo = new \finfo(FILEINFO_MIME_TYPE); + $mimeType = $finfo->file($_FILES['archivo']['tmp_name']); + $ok = preg_match('/image\/*./', $mimeType); + + if ( $ok ) { + $tmp_name = $_FILES['archivo']['tmp_name']; + + if ( !move_uploaded_file($tmp_name, "../img/films/{$nombre}") ) { + $result['img'] = 'Error al mover el archivo'; + } + + /*if ( !copy("../img/tmp/{$nombre}", "/{$nombre}") ) { + $result['img'] = 'Error al mover el archivo'; + }*/ + + }else { + $result['img'] = 'El archivo tiene un nombre o tipo no soportado'; + } + } else { + $result['img'] = 'Error al subir el archivo.'; + } + $tittle = $this->test_input($datos['tittle']) ?? null; //|| !mb_ereg_match(self::HTML5_EMAIL_REGEXP, $tittle) if ( empty($tittle) ) { @@ -80,20 +119,30 @@ class formAddFilm extends Form{ $result[] = "Ya existe una nueva pelicula con el mismo titulo e idioma."; } else{ - $bd->createFilm(null, $tittle,$duration,$language,$description); - $_SESSION['message'] = "
-
-
-
-

Operacion realizada con exito

-

Se ha añadido la pelicula correctamente en la base de datos.

- + + $tmp_name = $_FILES['img']['tmp_name']; + if ( !move_uploaded_file($tmp_name, "../img/films/{$nombre}") ) { + $result[] = 'Error al mover el archivo'; + } + /*else if ( !copy(DIR_ALMACEN. "/{$nombre}", DIR_ALMACEN_PROTEGIDO. "/{$nombre}") ) { + $result[] = 'Error al mover el archivo'; + }*/ + else { + $bd->createFilm(null, $tittle,$duration,$language,$description,$nombre); + $_SESSION['message'] = "
+
+
+
+

Operacion realizada con exito

+

Se ha añadido la pelicula correctamente en la base de datos.

+ +
+
-
-
- "; - $result = './?state=mf'; + "; + $result = './?state=mf'; + } } $exist->free(); @@ -105,7 +154,12 @@ class formAddFilm extends Form{ return htmlspecialchars(trim(strip_tags($input))); } + private function check_file_uploaded_name ($filename) { + return (bool) ((mb_ereg_match('/^[0-9A-Z-_\.]+$/i',$filename) === 1) ? true : false ); + } + private function check_file_uploaded_length ($filename) { + return (bool) ((mb_strlen($filename,'UTF-8') < 250) ? true : false); + } } - ?> \ No newline at end of file