Просмотр файла onewf.php

Милый пушистый сайт !!!!
Размер файла: 2.96Kb 
<?php
include 'inc/db.php';
include 'inc/1.php';
if (!$user)header("Location: /aut.php");
if (!$_GET['id'])header("Location: /obmen.php");
$id=intval($_GET['id']);
$a=mysql_query("SELECT * FROM `obmen_t` WHERE `id` = '$id'");
if (mysql_num_rows($a)==0)header(" /obmen.php");
echo "<div class='p0'>Выгрузка файла</div>";
//начало
if (!$_POST['OK']){
echo "<div class='p1'><form enctype='multipart/form-data' action='onewf.php?id=$id' method='POST'>Файл:<br><input type='file' name='file'><br>Описание:<br><textarea name='msg'></textarea><br><input type='hidden' name='MAX_FILE_SIZE' value='100000000'><input type='submit' name='OK' value='Добавить'></form></div>";
include_once 'inc/foot.php';
exit;
}
if (($user['time_obmen']+20)<time()){
$n=mysql_escape_string($_FILES['file']['name']);
$type=$_FILES['file']['type'];
$name=htmlspecialchars(mysql_escape_string(preg_replace("/(.*)[.](\w+)/i", "\${1}", $n)));
$ras=htmlspecialchars(mysql_escape_string(preg_replace("/(.*)[.](\w+)/i", "\${2}", $n)));
if ($ras=='')$err="Неправильное расширение!";
if ($name=='')$err="Неправильное имя файла!";
$nameras=$name.".".$ras;
$msg=mysql_escape_string($_POST['msg']);
$allf=mysql_num_rows(mysql_query("SELECT * FROM `obmen`"));
if (move_uploaded_file($_FILES['file']['tmp_name'], "obmen/".($allf+1).".file")){
mysql_query("INSERT INTO `obmen` (`name`, `msg`, `user`, `time`, `razdel`, `ras`, `type`, `nameras`) values ('$name', '$msg', '$user[id]', '".time()."', '$id', '$ras', '$type', '$nameras')");
$newid=mysql_insert_id();
//$s=mysql_num_rows(mysql_query("SELECT * FROM `obmen`"));
echo "<div class='msg'>Файл выгружен успешно!<br>Вот он: <a href='file.php?id=$newid'>$name.$ras</a></div>";
mysql_query("INSERT INTO `log` (`user`, `text`, `time`) values ('$user[id]', 'Выгрузка файла', '".time()."')");
mysql_query("UPDATE `user` SET `time_obmen` = '".time()."' WHERE `id` = '$user[id]'");
$q=mysql_query("SELECT `id`, `user2`, `user1` FROM `friends` WHERE `ok` = '1' AND (`user1` = '$user[id]' OR `user2` = '$user[id]')");
while ($f=mysql_fetch_assoc($q))
{
if ($f['user1']==$user['id'])$aid=$f['user2'];
else
$aid=$f['user1'];
$time=time();
$msg=im($user['id'])." <a href=\'/ank.php?id=$user[id]\'>$user[name]</a> выгр. файл: <a href=\'/file.php?id=$newid\'>".htmlspecialchars($name)."</a>";
mysql_query("INSERT INTO `lenta` (`user`, `msg`, `time`, `read`) values ('$aid', '$msg', '$time', '0')");
}
}
else
{
echo "<div class='msg'>Во время выгрузки возникла ошибка!</div>";
}
//конец
}
else
{
msg("Частая выгрузка файлов.. Один файл в 20 секунд!");
}
$rf=mysql_fetch_assoc(mysql_query("SELECT * FROM `obmen_t` WHERE `id` = '$f[razdel]'"));
echo "<div class='p0'><a href='orazdel.php?id=$f[razdel]'>".htmlspecialchars($rf['name'])."</a></div>";
include_once 'inc/foot.php';
?>