PHP多文件上传需先确保PHP配置允许且表单含enctype="multipart/form-data",再按$_FILES二维结构遍历每个文件,逐一校验error、类型、重命名并安全存储。
PHP 文件上传的核心在于正确配置服务器环境、合理处理表单提交、安全校验文件并完成存储。多文件上传不是简单循环,关键在 $_FILES 数组结构的理解与遍历方式。
一、基础前提:确保 PHP 和表单支持上传
上传功能依赖两个基本条件:PHP 配置允许、HTML 表单正确声明。
-
PHP 配置检查:确认
file_uploads = On(php.ini),并留意upload_max_filesize和post_max_size是否足够(如设为20M) -
表单写法必须包含:
enctype="multipart/form-data",否则$_FILES为空;<input type="file">的name属性需带中括号(如name="files[]")才能支持多选或多字段
二、理解 $_FILES 多文件数组结构
浏览器选择多个文件后,$_FILES['files'] 不是扁平数组,而是按字段名维度组织的二维结构:
<input type="file" name="files[]" multiple> 上传 3 个文件,$_FILES['files'] 实际长这样:
Array( 'name' => ['a.jpg', 'b.pdf', 'c.png'], 'type' => ['image/jpeg', 'application/pdf', 'image/png'], 'tmp_name' => ['/tmp/phpabc123', '/tmp/phpdef456', '/tmp/phpghi789'], 'error' => [0, 0, 0], 'size' => [10240, 81920, 5120] )
这意味着不能直接 foreach($_FILES['files'] as $file)——那遍历的是 name、type 等子键。正确做法是先用 count($_FILES['files']['name']) 获取数量,再按索引逐个取值。
立即学习“PHP免费学习笔记(深入)”;
三、安全上传的必备步骤(单/多文件通用)
每一份上传都应独立完成以下校验与操作,不可跳过:
-
检查 error 值:必须为
0(UPLOAD_ERR_OK),其他值如1(超 php.ini 限制)、4(未选文件)需明确提示 -
验证文件类型:不依赖
$_FILES['type'](易伪造),改用finfo_file()或扩展名白名单(如in_array(pathinfo($name, PATHINFO_EXTENSION), ['jpg','png','pdf'])) -
重命名文件:避免中文、空格、特殊字符;推荐用
uniqid() . '_' . mt_rand(100,999) . '.' . $ext生成唯一名 -
指定安全路径移动:用
move_uploaded_file($tmp_name, $target_path),目标路径不能由用户输入拼接,且目录需有写权限但不在 Web 可访问根目录下(或通过脚本控制访问)
四、完整多文件上传示例(含 HTML + PHP)
HTML 部分(upload.html):
<form action="upload.php" method="post" enctype="multipart/form-data"> <input type="file" name="files[]" multiple accept="image/*,.pdf"> <button type="submit">上传</button> </form>
PHP 处理部分(upload.php):
<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST' && !empty($_FILES['files']['name'][0])) {
$uploadDir = __DIR__ . '/uploads/';
if (!is_dir($uploadDir)) mkdir($uploadDir, 0755, true);
$allowedExt = ['jpg', 'jpeg', 'png', 'gif', 'pdf'];
$uploaded = [];
$errors = [];
$count = count($_FILES['files']['name']);
for ($i = 0; $i < $count; $i++) {
$name = $_FILES['files']['name'][$i];
$tmp = $_FILES['files']['tmp_name'][$i];
$size = $_FILES['files']['size'][$i];
$error = $_FILES['files']['error'][$i];
$ext = strtolower(pathinfo($name, PATHINFO_EXTENSION));
if ($error !== UPLOAD_ERR_OK) {
$errors[] = "第".($i+1)."个文件上传失败(错误码:{$error})";
continue;
}
if ($size === 0) {
$errors[] = "第".($i+1)."个文件为空";
continue;
}
if (!in_array($ext, $allowedExt)) {
$errors[] = "第".($i+1)."个文件类型不支持:{$ext}";
continue;
}
$newName = uniqid('up_') . '_' . mt_rand(100, 999) . '.' . $ext;
$target = $uploadDir . $newName;
if (move_uploaded_file($tmp, $target)) {
$uploaded[] = $newName;
} else {
$errors[] = "第".($i+1)."个文件保存失败";
}
}
echo "<h3>上传结果</h3>";
if (!empty($uploaded)) {
echo "<p>成功:<br>" . implode('<br>', $uploaded) . "</p>";
}
if (!empty($errors)) {
echo "<p style='color:red'>错误:<br>" . implode('<br>', $errors) . "</p>";
}
} else {
echo "请通过表单上传文件";
}
?>
基本上就这些。核心是把多文件看作“一批独立任务”,每个都走完校验 → 过滤 → 存储流程。不复杂但容易忽略 error 判断和类型二次验证。
