Просмотр файла onewf.php

Милый пушистый сайт !!!!
Размер файла: 2.28Kb 
<?php
include 'inc/db.php';
include 'inc/1.php';
if (!$user)header("Location: /aut.php");
if (!$_GET['id'])header("Location: /obmen.php");
$id=intval($_GET['id']);
$a=mysql_query("SELECT * FROM `obmen_t` WHERE `id` = '$id'");
if (mysql_num_rows($a)==0)header(" /obmen.php");
echo "<div class='p0'>Выгрузка файла</div>";
//начало
if (!$_POST['OK']){
echo "<div class='p1'><form enctype='multipart/form-data' action='onewf.php?id=$id' method='POST'>Файл:<br><input type='file' name='file'><br>Описание:<br><textarea name='msg'></textarea><br><input type='hidden' name='MAX_FILE_SIZE' value='100000000'><input type='submit' name='OK' value='Добавить'></form></div>";
include_once 'inc/foot.php';
exit;
}
if (($user['time_obmen']+20)<time()){
$n=mysql_escape_string($_FILES['file']['name']);
$type=$_FILES['file']['type'];
$name=htmlspecialchars(mysql_escape_string(preg_replace("/(.*)[.](\w+)/i", "\${1}", $n)));
$ras=htmlspecialchars(mysql_escape_string(preg_replace("/(.*)[.](\w+)/i", "\${2}", $n)));
if ($ras=='')$err="Неправильное расширение!";
if ($name=='')$err="Неправильное имя файла!";
$nameras=$name.".".$ras;
$msg=mysql_escape_string($_POST['msg']);
$allf=mysql_num_rows(mysql_query("SELECT * FROM `obmen`"));
if (move_uploaded_file($_FILES['file']['tmp_name'], "obmen/".($allf+1).".file")){
mysql_query("INSERT INTO `obmen` (`name`, `msg`, `user`, `time`, `razdel`, `ras`, `type`, `nameras`) values ('$name', '$msg', '$user[id]', '".time()."', '$id', '$ras', '$type', '$nameras')");
$s=mysql_num_rows(mysql_query("SELECT * FROM `obmen`"));
echo "<div class='msg'>Файл выгружен успешно!<br>Вот он: <a href='file.php?id=$s'>$name.$ras</a></div>";
mysql_query("UPDATE `user` SET `time_obmen` = '".time()."' WHERE `id` = '$user[id]'");
}else
{
echo "<div class='msg'>Во время выгрузки возникла ошибка!</div>";
}
//конец
}
else
{
msg("Частая выгрузка файлов.. Один файл в 20 секунд!");
}
$rf=mysql_fetch_assoc(mysql_query("SELECT * FROM `obmen_t` WHERE `id` = '$f[razdel]'"));
echo "<div class='p0'><a href='orazdel.php?id=$f[razdel]'>".htmlspecialchars($rf['name'])."</a></div>";
include_once 'inc/foot.php';
?>