apache文件上传

㈠ 如何设置apache+php的上传文件大小上限

完整修改步骤：
1.修改Apache设置
在httpd.conf 加一句（随便加哪都行） LimitRequestBody 10240000（这个数字多大都可以，我设的上限是10M）
2.修改PHP设置
相关的设置有如下几个，但是我只改了其中的post_max_size

（下面的内容是直接粘第一篇文章里的）
打开php.ini， Ctrl+F 找到下面的项并修改之。下面以上传100M为例。
file_uploads = on ;是否允许通过HTTP上传文件的开关。默认为ON即是开
upload_tmp_dir ;文件上传至服务器上存储临时文件的地方，如果没指定就会用系统默认的临时文件夹
upload_max_filesize = 100m ;望文生意，即允许上传文件大小的最大值。默认为2M
post_max_size = 100M ;指通过表单POST给PHP的所能接收的最大值，包括表单里的所有值。默认为8M
一般地，设置好上述四个参数后，上传<=8M的文件是不成问题，在网络正常的情况下。
但如果要上传>8M的大体积文件，只设置上述四项还一定能行的通。除非你的网络真有100M/S的上传高速，否则你还得关心关心下面的参数：
max_execution_time = 600 ;每个PHP页面运行的最大时间值(秒)，默认30秒
max_input_time = 600 ;每个PHP页面接收数据所需的最大时间，默认60秒
memory_limit = 128M ;每个PHP页面所吃掉的最大内存，默认8M
希望可以采纳，谢谢。

㈡ 如何上传网页文件到本地apache服务器

apache是一个模块化的web服务器，通过动态加载模块可以支持很多功能。默认情况下一般可以支持html、php、perl等网页，加载相关模块后也可以支持asp和jsp。

㈢ 文件上传漏洞攻击方法有什么

文件上传漏洞是什么？怎样防御文件上传漏洞攻击？文件上传漏洞是web安全中经常利用到的一种漏洞形式。这种类型的攻击从大的类型上来说，是攻击 数据与代码分离原则 的一种攻击。
一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码
造成文件上传漏洞的原因是
对于上传文件的后缀名（扩展名）没有做较为严格的限制
对于上传文件的MIMETYPE 没有做检查
权限上没有对于上传的文件的文件权限，（尤其是对于shebang类型的文件）
对于web server对于上传文件或者指定目录的行为没有做限制
下面就闲话一些文件上传漏洞的防御方式和攻击者的绕过方式
1.前端限制
function check(){
var filename=document.getElementById("file");
var str=filename.value.split(".");
var ext=str[str.length-1];
if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
return true;
}else{
alert("这不是图片！")
return false;
}
return false;
}
在表单中使用onsumbit=check()调用js函数来检查上传文件的扩展名。这种限制实际上没有任何用处，任何攻击者都可以轻而易举的破解。只能用于对于用户完全信任的情况下，很难称之为一种安全措施只能称之是一种防止用户误操作上传的措施，
反制：
随便的编辑一下页面/用burpsuite/写个小脚本就可以突破之，无须多言
2.检查扩展名
顾名思义，就是在文件被上传到服务端的时候，对于文件名的扩展名进行检查，如果不合法，则拒绝这次上传
在这里，还有一点是值得一提的，在检查扩展名是否合法的时候，有两种策略
黑名单策略，文件扩展名在黑名单中的为不合法,示例代码
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='php'||$postfix=='asp'||$postfix=='sh'){
echo "invalid file type";
return;
}
白名单策略，文件扩展名不在白名单中的均为不合法
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='jpg'||$postfix=='png'||$postfix=='gif'){
//save the file and do something next
} else {
echo "invalid file type";
return;
}
白名单策略是更加安全的，通过限制上传类型为只有我们接受的类型，可以较好的保证安全，因为黑名单我们可以使用各种方法来进行注入和突破
反制
在一些 webserver 中，存在解析漏洞
1.老版本的IIS中的目录解析漏洞，如果网站目录中有一个 /.asp/目录，那么此目录下面的一切内容都会被当作asp脚本来解析
2.老板本的IIS中的分号漏洞：IIS在解析文件名的时候可能将分号后面的内容丢弃，那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤，如 a.asp;jpg
3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格，从而使得加上这两个东西可以突破过滤，成功上传，并且被当作php代码来执行
4.nginx空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行
5.apache的解析漏洞，上传如a.php.rar a.php.gif 类型的文件名，可以避免对于php文件的过滤机制，但是由于apache在解析文件名的时候是从右向左读，如果遇到不能识别的扩展名则跳过，rar等扩展名是apache不能识别的，因此就会直接将类型识别为php，从而达到了注入php代码的目的
3.检查HTTP Header中的Content-Type
HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE，来识别文件类型，这个动作是由浏览器完成的，服务端可以检查此类型不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改，不过加上一层防护也是可以有一定效果的
反制
使用各种各样的工具（如burpsuite）强行篡改Header就可以，太容易将header中的
Content-Type: application/php
或者其他类型
改为
Content-Type: image/jpg
Content-Type: image/png
Content-Type: text/plain
等这些web程序允许的泪洗改附上常用的MIMETYPE表
text/plain（纯文本）
text/html（HTML文档）
text/javascript（js代码）
application/xhtml+xml（XHTML文档）
image/gif（GIF图像）
image/jpeg（JPEG图像）
image/png（PNG图像）
video/mpeg（MPEG动画）
application/octet-stream（二进制数据）
application/pdf（PDF文档）
application/(编程语言) 该种语言的代码
application/msword（Microsoft Word文件）
message/rfc822（RFC 822形式）
multipart/alternative（HTML邮件的HTML形式和纯文本形式，相同内容使用不同形式表示）
application/x-www-form-urlencoded（POST方法提交的表单）
multipart/form-data（POST提交时伴随文件上传的表单）
4.分析文件头内容来检查文件类型
与方法2不同，还有一种检查类型的方式是使用对于文件内容的验证机制，这种方法利用的是每一个特定类型的文件都会有不太一样的开头或者标志位。可以通过比如php的exif_imagetype()函数，一个通过这种方法来过滤的示例代码如下：
if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {
echo "File is not an image";
return;
}
也可以自己编写函数来进行识别，图片文件通常有称作幻数的头字节，我们来看一下几种图片文件的幻数：
（注意！下面是二进制而不是文本格式的数据）
JPG
FF D8 FF E0 00 10 4A 46 49 46
GIF
47 49 46 38 39 61
(相当于文本的GIF89a)
PNG
89 50 4E 47
通过检查头几位字节，可以分辨是否是图片文件
如果是其他类型的二进制文件，也有响应的头字节，如下表
反制
给上传脚本加上相应的幻数头字节就可以，php引擎会将
（一般不限制图片文件格式的时候使用GIF的头比较方便，因为全都是文本可打印字符。）
GIF89a
do_something();
?>
如果是其他类型的二进制文件，也有响应的头字节，如下表
格式
文件头
TIFF (tif)
49492A00
Windows Bitmap (bmp)
424D
CAD (dwg)
41433130
Adobe Photoshop (psd)
38425053
Rich Text Format (rtf)
7B5C727466
MS Word/Excel (xls.or.doc)
D0CF11E0
MS Access (mdb)
5374616E64617264204A
ZIP Archive (zip)，
504B0304
RAR Archive (rar)，
7221
Wave (wav)，
57415645
AVI (avi)，
41564920
Real Media (rm)，
2E524D46
MPEG (mpg)，
000001BA
MPEG (mpg)，
000001B3
Quicktime (mov)，
6D6F6F76
Adobe Acrobat (pdf)，
255044462D312E
Windows Media (asf)，
3026B2758E66CF11
MIDI (mid)，
4D546864
5.限制Web Server对于特定类型文件的行为
导致文件上传漏洞的根本原因在于服务把用户上传的本应是数据的内容当作了代码，一般来说，用户上传的内容都会被存储到特定的一个文件夹下，比如我们很多人习惯于放在 ./upload/ 下面要防止数据被当作代码执行，我们可以限制web server对于特定文件夹的行为。
大多数服务端软件都可以支持用户对于特定类型文件的行为的自定义，以Apache为例：
在默认情况下，对与 .php文件Apache会当作代码来执行，对于 html,css,js文件，则会直接由HTTP Response交给客户端程序对于一些资源文件，比如txt，doc，rar等等，则也会以文件下载的方式传送的客户端。我们希望用户上传的东西仅仅当作资源和数据而不能当作代码
因此可以使用服务器程序的接口来进行限制
以Apache为例,我们可以利用 .htaccess 文件机制来对web server行为进行限制
在这里插一句，如果不是专门的文件下载目录，请务必关掉文件夹浏览的权限，以防止嗅探和可能的越权，也是使用.htaccess文件，在其中加上一句
Options All -Indexes
即可。
禁止脚本执行有多种方式可以实现，而且分别有不同的效果，我们分别来看一下
1.指定特定扩展名的文件的处理方式,原理是指定Response的Content-Type可以加上如下几行
AddType text/plain .pl .py .php
这种情况下，以上几种脚本文件会被当作纯文本来显示出来，你也可以换成其他的Content-Type
2.如果要完全禁止特定扩展名的文件被访问，用下面的几行
Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi识别
在这种情况下，以上几种类型的文件被访问的时候，会返回403 Forbidden的错误
3.也可以强制web服务器对于特定文件类型的处理，与第一条不同的是， 下面的方法直接强行让apache将文件识别为你指定的类型，而第一种是让浏览器
ForceType text/plain
看代码就可以很明白的知道，符合上面正则的全部被认为是纯文本，也可以继续往里面加入其他类型。
4.只允许访问特定类型的文件
order deny,allow
deny from all
在一个上传图片的文件夹下面，就可以加上这段代码，使得该文件夹里面只有图片扩展名的文件才可以被访问，其他类型都是拒绝访问。
这又是一个白名单的处理方案
永远记得，白名单是最有保障的安全措施

可以通过 move_uploaded_file 函数把自己写的.htaccess 文件上传，覆盖掉服务器上的文件，来定义文件类型和执行权限如果做到了这一点，将获得相当大的权限。

㈣ 如何用Apache 的fileupload 将文件上传到另一台电脑

stem.out.println("size limit exception!");
} catch(Exception e) { e.printStackTrace();
} Iterator iter = items==null?null:items.iterator();
while(iter != null &&
iter.hasNext()) { FileItem item = (FileItem)iter.next();
//简单的表单域 if(item.isFormField()) { System.out.print("form field:");
System.out.print(item.getFieldName() + " ");
System.out.print(item.getString());
} //文件域 else if(!item.isFormField()) { System.out.println("client name:" + item.getName());
String fileName = item.getName().substring(item.getName().lastIndexOf("\\"));
BufferedInputStream in = new BufferedInputStream(item.getInputStream());
//文件存储在工程的upload目录下,这个目录也得存在 BufferedOutputStream out = new BufferedOutputStream( new FileOutputStream(new File("../webapps/fileupload/upload/" + fileName)));
Streams.(in, out, true);
} } } else { System.out.println("enctype error!");
} } }
因为使用tomcat做得服务器，所以里面的路径都是以tomcat为基础来写得，具体情况需要修改。
stem.out.println("size limit exception!");
} catch(Exception e) { e.printStackTrace();
} Iterator iter = items==null?null:items.iterator();
while(iter != null &&
iter.hasNext()) { FileItem item = (FileItem)iter.next();
//简单的表单域 if(item.isFormField()) { System.out.print("form field:");
System.out.print(item.getFieldName() + " ");
System.out.print(item.getString());
} //文件域 else if(!item.isFormField()) { System.out.println("client name:" + item.getName());
String fileName = item.getName().substring(item.getName().lastIndexOf("\\"));
BufferedInputStream in = new BufferedInputStream(item.getInputStream());
//文件存储在工程的upload目录下,这个目录也得存在 BufferedOutputStream out = new BufferedOutputStream( new FileOutputStream(new File("../webapps/fileupload/upload/" + fileName)));
Streams.(in, out, true);
} } } else { System.out.println("enctype error!");
} } }
因为使用tomcat做得服务器，所以里面的路径都是以tomcat为基础来写得，具体情况需要修改。

㈤ 为什么使用apache的ftp包上传文件，只有第一文件能上传成功

在定义了store对象后，在它的on方法中绑定监听，先得到扩展参数，然后再把store中已经有的之前的catalogid值赋给它，这样，点击分页时，就会传递catalogid参数了。

㈥ apache 如何http上传文件

JAVA代码

sql">StringtargetUrl="http://localhost:8080/Test";
PostMethodfilePost=newPostMethod(targetUrl){//这个用来中文乱码
publicStringgetRequestCharSet(){
return"UTF-8";//
}
};
try{
HttpClientclient=newHttpClient();
Filefile=newFile("c:/新闻.xml");
Part[]parts=newPart[]{newCustomFilePart(file.getName(),file)};
filePost.setRequestEntity(newMultipartRequestEntity(parts,filePost.getParams()));
intstatuscode=client.executeMethod(filePost);
if(statuscode==HttpStatus.SC_OK){
System.out.println("添加文件成功");
}else{
System.out.println("添加文件失败");
}
}catch(Exceptionex){
ex.printStackTrace();
}

importjava.io.File;
importjava.io.FileNotFoundException;
importjava.io.IOException;
importjava.io.OutputStream;

importorg.apache.commons.httpclient.methods.multipart.FilePart;
importorg.apache.commons.httpclient.util.EncodingUtil;
/**
*解决中文文件名乱码
*/
{
publicCustomFilePart(Stringfilename,Filefile)
throwsFileNotFoundException{
super(filename,file);
}

(OutputStreamout)throwsIOException{
super.sendDispositionHeader(out);
Stringfilename=getSource().getFileName();
if(filename!=null){
out.write(EncodingUtil.getAsciiBytes(FILE_NAME));
out.write(QUOTE_BYTES);
out.write(EncodingUtil.getBytes(filename,"utf-8"));
out.write(QUOTE_BYTES);
}
}
}

而服务端使用apache的commonfileupload：

Filetempfile=newFile(System.getProperty("java.io.tmpdir"));//采用系统临时文件目录
=newDiskFileItemFactory();
diskFileItemFactory.setSizeThreshold(4096);//设置缓冲区大小，这里是4kb
diskFileItemFactory.setRepository(tempfile);//设置缓冲区目录
ServletFileUploadfu=newServletFileUpload(diskFileItemFactory);
fu.setSizeMax(4194304);//限制文件大小最大为4M
ListfileItems=fu.parseRequest(request);
Iteratori=fileItems.iterator();
while(i.hasNext()){
FileItemfi=(FileItem)i.next();
StringfileName=fi.getName();
if(fileName!=null){
FilefullFile=newFile(fi.getName());
FilesavedFile=newFile(uploadPath,fullFile.getName());
fi.write(savedFile);
}
}
System.out.println("uploadsucceed");

㈦ 如何把文件或网站上传到apache服务器

把网站安装程序用cutftp上传到服务器,上传的时候需要你输入远端服务器ftp帐号密码,连接成功后,直接将左边本地的文件拖到右边的窗口中就是上传了,上传完后,如果你的php程序有安装功能,就直接根据mysql远端服务器数据库帐号密码进行安装,安装完进后台导入本地的mysql数据库备份,全部完成.

㈧ 如何用apache ab进行文件上传压力测试

Apache附带的ab工具（本机使用的PHP环境是WAMP集成环境，ab工具位于D:wampinapacheApache2.2.21in）非常容易使用，ab可以直接在Web服务器本地发起测试请求，这至关重要，因为有些时候我们需要测试的仅仅是服务器的处理性能，并不想掺杂着网络传输时间的影响。ab进行一切测试的本质都是基于HTTP的，所以可以说ab对于Web服务器软件的黑盒性能测试，获得的一切数据和计算结果，都是可以通过HTTP来解释的。

测试本机是否正确安装ab工具，在power shell想将当前目录定位到bin，输入 .ab –V 命令，如果安装正确，则会将其版本信息打印出来。

PSD:wampinapacheApache2.2.21in>.ab-V
ThisisApacheBench,Version2.3<$Revision:655654$>
Copyright1996AdamTwiss,ZeusTechnologyLtd,http://www.zeustech
,<ahref="http://www.apache.org/">http://www.apache.org/</a>

好了，一切就绪，下面提供一个压力测试的实例：

输入命令 PS

D:wampinapacheApache2.2.21in>.ab-n1000-c10http://localhost/index.php
ThisisApacheBench,Version2.3<$Revision:655654$>
Copyright1996AdamTwiss,ZeusTechnologyLtd,http://www.zeustech.net/
,http://www.apache.org/

Benchmarkinglocalhost(bepatient)
Completed100requests
Completed200requests
Completed300requests
Completed400requests
Completed500requests
Completed600requests
Completed700requests
Completed800requests
Completed900requests
Completed1000requests
Finished1000requests


ServerSoftware:Apache/2.2.21
ServerHostname:localhost
ServerPort:80

DocumentPath:/index.php
DocumentLength:211bytes

ConcurrencyLevel:10
Timetakenfortests:0.496seconds
Completerequests:1000
Failedrequests:0
Writeerrors:0
Non-2xxresponses:1000
Totaltransferred:400000bytes
HTMLtransferred:211000bytes
Requestspersecond:2015.93[#/sec](mean)
Timeperrequest:4.960[ms](mean)
Timeperrequest:0.496[ms](mean,acrossallconcurrentrequests)
Transferrate:787.47[Kbytes/sec]received

ConnectionTimes(ms)
minmean[+/-sd]medianmax
Connect:000.401
Processing:251.1412
Waiting:241.1412
Total:251.1512

(ms)
50%5
66%5
75%5
80%6
90%6
95%7
98%8
99%9
100%12(longestrequest)

下面开始解析这条命令语句：启动ab，并出入三个参数（PS D:wampinapacheApache2.2.21in> .ab -n1000 -c10 http://localhost/index.php ）

-n1000 表示请求总数为1000

-c10 表示并发用户数为10

http://localhost/index.php 表示这写请求的目标URL

测试结果也一目了然，测试出的吞吐率为：Requests per second: 2015.93 [#/sec] (mean) 初次之外还有其他一些信息。

Server Software 表示被测试的Web服务器软件名称

Server Hostname 表示请求的URL主机名

Server Port 表示被测试的Web服务器软件的监听端口

Document Path 表示请求的URL中的根绝对路径，通过该文件的后缀名，我们一般可以了解该请求的类型

Document Length 表示HTTP响应数据的正文长度

Concurrency Level 表示并发用户数，这是我们设置的参数之一

Time taken for tests 表示所有这些请求被处理完成所花费的总时间

Complete requests 表示总请求数量，这是我们设置的参数之一

Failed requests 表示失败的请求数量，这里的失败是指请求在连接服务器、发送数据等环节发生异常，以及无响应后超时的情况。如果接收到的HTTP响应数据的头信息中含有2XX以外的状态码，则会在测试结果中显示另一个名为 “Non-2xx responses”的统计项，用于统计这部分请求数，这些请求并不算在失败的请求中。

Total transferred 表示所有请求的响应数据长度总和，包括每个HTTP响应数据的头信息和正文数据的长度。注意这里不包括HTTP请求数据的长度，仅仅为web服务器流向用户PC的应用层数据总长度。

HTML transferred 表示所有请求的响应数据中正文数据的总和，也就是减去了Total transferred中HTTP响应数据中的头信息的长度。

Requests per second 吞吐率，计算公式：Complete requests / Time taken for tests

Time per request 用户平均请求等待时间，计算公式：Time token for tests/（Complete requests/Concurrency Level）

Time per requet(across all concurrent request) 服务器平均请求等待时间，计算公式：Time taken for tests/Complete requests，正好是吞吐率的倒数。也可以这么统计：Time per request/Concurrency Level

Transfer rate 表示这些请求在单位时间内从服务器获取的数据长度，计算公式：Total trnasferred/ Time taken for tests，这个统计很好的说明服务器的处理能力达到极限时，其出口宽带的需求量。

Percentage of requests served within a certain time（ms） 这部分数据用于描述每个请求处理时间的分布情况，比如以上测试，80%的请求处理时间都不超过6ms，这个处理时间是指前面的Time per request，即对于单个用户而言，平均每个请求的处理时间。

未完待续。。。

㈨ 怎么用Apache搭建一个可以文件上传下载的web网站

很简单如果你有域名就绑定没有直接使用IP进行访问安装php环境就可以了帮助直接访问文件名字就可以下载的

㈩ 使用apache的fileupload组件上传文件怎么解决编码问题

你在保存文件的时候有个参数设置这个文件的编码啊