在早期的PHP版本中，上传文件很可能是通过如下的代码实现的：

......
if (isset($_FILES['file'])) {
$tmp_name = $_FILES['file']['tmp_name'];
}
if (file_exists($tmp_name)) {
copy($tmp_name,$destfile);
}
......

但是很可能会被伪造一个$_FILES['file']数组出来，如果tmp_name的内容会被指定为/etc/passwd等敏感信息的内容，那么很容易出现安全问题。PHP在后来的版本中用is_uploaded_file() 和 move_uploaded_file()解决了这个问题，用is_uploaded_file()不仅会检查$_FILES['file']['tmp_name']是否存在，而且会检查$_FILES['file']['tmp_name']是否是上传的文件，这样就使得伪造$_FILES变量变得不可能，因为脚本会在检查到$_FILES['file']['tmp_name']不是PHP上传的时候终止执行。
伪造变得不可能了么？在很多的脚本里面我看到初试化部分就有@extract($_POST)之类的操作，以保证程序在register globals为off的环境下能继续运行，这样的环境下我们很轻松可以伪造$_FILES数组，甚至将原来的$_FILES数组覆盖，但是想完全的伪造一个$_FILES数组还是很困难的，因为你无法饶过is_uploaded_file() 和 move_uploaded_file()。但是在windows下的php环境下测试时，我们发现php的临时文件很有规律，是C:\WINDOWS\TEMP\php93.tmp这种格式，上传的时候文件名字会是C:\WINDOWS\TEMP\phpXXXXXX.tmp这种格式变化，其中XXXXXX是十六进制的数字，并且是按照顺序增加的，也就是说如果这次上传的临时文件名是C:\WINDOWS\TEMP\php93.tmp，那么下次就会是C:\WINDOWS\TEMP\php94.tmp，临时文件名变得有规律。但是我们可能不知道当前的文件名是什么，这可以通过php自身的错误机制泄露出来，譬如我们将临时文件拷贝到一个没有权限的目录或者在目标文件里包含文件系统禁止的字符就可以将当前的临时文件名字给泄露出来，当然前提是没有错误抑制处理。
那么到底如何饶过is_uploaded_file() 和 move_uploaded_file()呢？看看php中is_uploaded_file()部分的代码：

PHP_FUNCTION(is_uploaded_file)
{
zval **path;
if (!SG(rfc1867_uploaded_files)) {
  RETURN_FALSE;
}
if (ZEND_NUM_ARGS() != 1