php实现文件的上传和下载

文件上传需通过$_FILES处理，检查error、校验扩展名、生成新文件名并用move_uploaded_file安全移动；下载则设置Content-Type、Content-Disposition等响应头，验证权限与路径，防止目录遍历。1. 上传表单须method="POST"且enctype="multipart/form-data"；2. $_FILES['myfile']含name、tmp_name、error、size、type；3. 安全措施包括错误码检查、扩展名白名单、随机文件名、禁用Web访问上传目录；4. 下载时先验证权限，再输出文件内容前设置正确响应头；5. 避免headers already sent问题，中文文件名用rawurlencode编码；6. 大文件分块读取防内存溢出。核心是上传重验证隔离，下载重头控与路径安全。

PHP 实现文件上传和下载，核心在于正确处理 $_FILES 超全局数组、设置合适的 HTTP 响应头，并注意安全与路径控制。下面分上传和下载两部分说明关键点和实用写法。

文件上传：接收并保存客户端文件

上传需 HTML 表单配合 PHP 后端处理。表单必须满足：
– method="POST"
– enctype="multipart/form-data"
– 包含

PHP 端通过 $_FILES['myfile'] 获取上传信息，结构为：

• name：原始文件名（客户端提供，不可信）
• tmp_name：服务端临时存储路径（唯一可信的文件位置）
• error：错误码（0 表示成功，非 0 需检查）
• size：字节数（可做大小限制）
• type：MIME 类型（浏览器提供，可被伪造，仅作参考）

安全建议：

立即学习“PHP免费学习笔记（深入）”；

• 检查 $_FILES['myfile']['error'] === UPLOAD_ERR_OK
• 用 pathinfo($_FILES['myfile']['name'], PATHINFO_EXTENSION) 提取扩展名，结合白名单校验（如 in_array(strtolower($ext), ['jpg', 'png', 'pdf'])）
• 生成新文件名（如 uniqid() . '.' . $ext），避免覆盖或执行风险
• 用 move_uploaded_file($_FILES['myfile']['tmp_name'], $targetPath) 移动文件（copy() 不安全）
• 上传目录禁止直接 Web 访问（如放在 ../uploads/，或加 .htaccess / nginx deny）

文件下载：强制浏览器弹出保存对话框

下载不是直接输出文件内容，而是设置响应头，让浏览器识别为“需下载”的资源。

Bootstrap和fileinput-js实现的FormData图片上传插件

Bootstrap和fileinput-js实现的FormData图片上传插件

下载

关键响应头：

• Content-Type：设为 application/octet-stream（通用二进制流），或根据文件类型设更精确值（如 image/png）
• Content-Disposition：必须含 attachment; filename="xxx.ext"，指定下载时默认保存名（注意中文名需 UTF-8 编码，可用 rawurlencode() 处理）
• Content-Length：推荐设置，提升体验（filesize($filePath)）
• Content-Transfer-Encoding：一般不用设，保持默认

基本流程：

• 验证用户权限（如登录态、文件归属）
• 检查文件是否存在且可读（is_file($filePath) && is_readable($filePath)）
• 设置上述响应头（注意不能有输出前的空格或 echo）
• 用 readfile($filePath) 输出文件内容（适合中小文件）；大文件建议分块读取 + flush() 避免内存溢出

常见坑与注意事项

上传失败常见原因：

• PHP 配置限制：upload_max_filesize、post_max_size、max_execution_time 需调大
• 临时目录无写入权限（sys_get_temp_dir() 可查）
• 表单漏掉 enctype 或方法不是 POST

下载常见问题：

• 响应头之前已有输出（包括 BOM、空行、echo），导致 headers already sent 错误
• 中文文件名在 IE/Edge 下乱码，建议兼容写法：
  mb_convert_encoding($filename, 'UTF-8', 'auto') 或使用 Content-Disposition: attachment; filename*=UTF-8''{encoded}
• 未校验文件路径，可能被构造为 ../../../etc/passwd（务必用 realpath() + 白名单目录比对）

基本上就这些。上传重在验证和隔离，下载重在头控制和路径安全。不复杂但容易忽略细节。