必须先校验上传文件合法性再解析:检查$_FILES'file'为UPLOAD_ERR_OK,用mime_content_type或IOFactory::identify验证CSV/Excel类型,拒绝空文件;邮箱校验需结构化过滤乱填、无效域名及重复项;Excel读取要禁用自动类型推断并区分数据类型;错误需返回具体行号与原因。
导入前校验 $_FILES 是否为合法 CSV/Excel 文件
很多同学一上来就用 fgetcsv() 或 PhpSpreadsheet 直接读,结果用户上传了个 .exe 或空文件,直接报错或静默失败。必须先检查 $_FILES['file']['error'] 是否为 UPLOAD_ERR_OK,再确认 $_FILES['file']['type'] 或后缀(别只信后缀!)。
- 对 CSV:用
mime_content_type($_FILES['file']['tmp_name'])检查是否含text/csv或text/plain,再读前几行验证是否有逗号分隔、字段数基本一致 - 对 Excel(.xlsx/.xls):优先用
PhpSpreadsheet\IOFactory::identify($path),它比扩展名或 MIME 更可靠;若未安装扩展,至少用pathinfo($filename, PATHINFO_EXTENSION)拒绝非xlsx/xls后缀 - 拒绝空文件:
filesize($_FILES['file']['tmp_name']) === 0就直接返回错误
逐行解析时对邮箱字段做结构化校验,不是只用 filter_var($email, FILTER_VALIDATE_EMAIL)
filter_var 能过不代表能发信——比如 "test@localhost"、"a@b.c"、甚至 "\"quoted\"@domain.com" 都合法,但班级通信录里几乎不会出现。实际要筛掉三类问题:
- 明显乱填:
empty($email)、含中文字符(用preg_match('/[\x{4e00}-\x{9fff}]/u', $email))、含空格或制表符(trim($email) !== $email) - 域名部分无效:用
strpos($email, '@') !== false确保有 @,再用$parts = explode('@', $email); $domain = end($parts); checkdnsrr($domain, 'MX')(注意:生产环境慎用,会阻塞,可异步或跳过) - 重复邮箱:用
array_key_exists($email, $seen_emails)去重,避免同一人被导入多次
处理 Excel 导入时,PhpSpreadsheet 读取邮箱列需注意数字自动转科学计数和空值
Excel 里用户可能把邮箱输成“123456789@qq.com”但单元格格式设为“常规”,PHP 读出来变成 1.23456789E8@qq.com;或者留空却读成 null 或空字符串。关键点在读取配置和类型判断:
- 加载时强制禁用自动类型推断:
$reader->setReadDataOnly(true); $reader->setReadEmptyCells(false); - 读单元格值前,先用
$cell->getDataType()判断是否为Cell::TYPE_STRING;若为Cell::TYPE_NUMERIC,且疑似邮箱(含 @),用$cell->getFormattedValue()而非getValue() - 对空单元格,
$cell->getValue() === null时统一转为空字符串,再走邮箱校验流程
导入失败时返回具体行号和错误原因,而不是笼统提示“邮箱格式错误”
用户根本不知道哪一行错了。必须在循环中记录每行的原始数据、校验结果、错误位置:
立即学习“PHP免费学习笔记(深入)”;
- 用
try...catch包裹单行处理,捕获PhpSpreadsheet\Exception或自定义异常 - 构造错误数组:
['row' => $rowIndex, 'raw' => $rowData, 'error' => '邮箱缺少 @ 符号'],最后统一返回 JSON 给前端高亮显示 - 特别注意 BOM 头:CSV 文件若带 UTF-8 BOM,
fgetcsv()可能导致首列邮箱开头多出不可见字符,建议用mb_convert_encoding(file_get_contents($tmp), 'UTF-8', 'UTF-8')前置清理
真正麻烦的不是读文件,而是用户随手复制粘贴进 Excel 的各种隐式格式——比如合并单元格、隐藏列、全角空格、换行符混在邮箱里。校验逻辑得跑在真实脏数据上,而不是理想 CSV 样例。
