可行,需用 form-data 库模拟 FormData 并以可读流方式添加文件;PHP 中 $_FILES 为空主因是配置限制或未校验错误码,须检查 php.ini 上传限制、MIME 类型及文件保存安全措施。
Node.js 用 axios 或 node-fetch 发送 FormData 到 PHP 是否可行?
不可直接用原生 FormData(浏览器专属),Node.js 环境没有 window.FormData。必须用兼容库模拟,否则会报错 ReferenceError: FormData is not defined。
推荐方案:用 form-data 库构造 multipart/form-data 请求体,配合 axios 或 node-fetch 发送。
- 安装:
npm install form-data axios - 关键点:不能直接传 JS 对象或 JSON;必须把文件转为可读流(
fs.createReadStream())再 append 进FormData实例 - 注意设置
Content-Type:让axios自动处理(不手动设),否则 PHP 无法解析 multipart
const FormData = require('form-data');
const fs = require('fs');
const axios = require('axios');
const form = new FormData();
form.append('file', fs.createReadStream('./test.pdf'));
form.append('desc', 'upload from node');
axios.post('https://example.com/upload.php', form)
.then(res => console.log(res.data));
PHP 接收时为什么 $_FILES 为空?
常见原因不是 Node.js 发得不对,而是 PHP 配置或接收逻辑没对上。
-
post_max_size和upload_max_filesize在php.ini中太小(如默认 2M),大文件直接被截断,$_FILES为空且无错误提示 - PHP 脚本开头没加
error_reporting(E_ALL); ini_set('display_errors', 1);,导致上传失败静默 - 没检查
$_FILES['file']['error']值:0=成功,1/2=超限,3=部分上传,4=无文件 - Apache/Nginx 反向代理时可能拦截或改写
Content-Type,需确认请求头中Content-Type确实是multipart/form-data; boundary=...
PHP 如何安全保存接收到的文件?
别直接用 $_FILES['file']['tmp_name'] + move_uploaded_file() 就完事,绕过校验会引发任意文件写入。
立即学习“PHP免费学习笔记(深入)”;
- 先验证
$_FILES['file']['error'] === 0 - 用
finfo_open(FILEINFO_MIME_TYPE)检查真实 MIME 类型(不能信$_FILES['file']['type'],前端可伪造) - 限制扩展名白名单:
['pdf', 'jpg', 'png'],而非黑名单 - 生成新文件名(如
uniqid() . '.' . $ext),避免覆盖或路径遍历(../../.php) - 保存路径不要在 Web 可访问目录下,或至少加
.htaccess禁止执行
调试时怎么确认文件真的发过去了?
靠 PHP 打印日志容易误判,因为 $_FILES 为空时,$_POST 和原始 body 也未必能拿到——multipart 被 PHP 解析器丢弃了。
- 在 PHP 入口第一行加:
file_put_contents('/tmp/debug-raw.txt', file_get_contents('php://input'));,看是否为空(空说明请求根本没进 PHP 或被 web server 拦截) - 用
var_dump($_SERVER['CONTENT_TYPE'], $_SERVER['CONTENT_LENGTH']);确认 header 是否正常 - Node.js 端开启 axios 的
transformRequest或用curl -v对比,确认发出的 boundary 和字段名与 PHP 期望一致 - 临时把 PHP 改成只输出
print_r($_FILES); print_r($_POST);,并确保响应状态码是 200(非 500 或 Nginx 502)
边界情况多在流处理、编码、配置三处,调通一次后建议封装成最小可复用函数,而不是每次拼 FormData。
