最可靠方式是用ZipArchive配合路径校验:先验证ZIP魔数,再遍历文件名用realpath判断是否在目标目录内,确保目录存在且可写,最后extractTo解压。
PHP用 ZipArchive 解压 ZIP 文件到指定目录最可靠
直接用 ZipArchive 是 PHP 官方推荐、兼容性好、可控性强的方式。它不依赖 shell 命令,也不需要额外扩展(PHP 7.4+ 默认启用),比 exec('unzip') 更安全、更可移植。
常见错误是没检查解压路径合法性,导致目录遍历(如 ZIP 里含 ../../etc/passwd),或忽略 ZipArchive::extractTo() 对目标目录的写入权限要求。
- 目标目录必须已存在且 PHP 进程有写权限(
is_writable()要返回 true) - 务必调用
$zip->getFromName($file)或遍历文件名做路径规范化,避免 zip bomb 或路径穿越 - 解压前建议用
$zip->numFiles限制文件数量,防内存耗尽
如何安全地防止 ZIP 路径穿越(../ 攻击)
ZIP 文件可被构造为包含 ../../../var/www/shell.php 这类路径,直接 extractTo() 会写到任意位置。PHP 不自动过滤,必须手动校验。
核心思路:对每个待解压文件名,用 realpath() + dirname() 判断是否仍在目标目录内。
m18麦考林整站 for Ecshop v2.7.3 安装方法: 1,解压rar包上传到网站根目录 2,导入sql数据库文件,到你的数据库里,可以phpmyadmin等软件 3,修改data里config.php里面的数据库 用户名 密码等信息 为你自己的数据库信息 4,安装完毕之后的后台用户名密码为: 后台地址:域名/admin 用户名:admin 密码:admin123 模板使用教程: htt
立即学习“PHP免费学习笔记(深入)”;
// $targetDir = '/var/www/uploads/unzip/';
// $zipFile = '/tmp/upload.zip';
$zip = new ZipArchive();
if ($zip->open($zipFile) === TRUE) {
for ($i = 0; $i < $zip->numFiles; $i++) {
$name = $zip->getNameIndex($i);
$safePath = realpath($targetDir . '/' . $name);
// 检查是否仍落在 $targetDir 下
if ($safePath === false || strpos($safePath, realpath($targetDir)) !== 0) {
throw new Exception("Unsafe path detected: {$name}");
}
}
$zip->extractTo($targetDir);
$zip->close();
}
extractTo() 的参数陷阱和权限细节
ZipArchive::extractTo() 第二个参数支持数组形式传入白名单文件名,但很多人误以为它是“只解压这些”,其实它只是「限制解压范围」——如果文件不存在于 ZIP 中,不会报错,也不会创建空目录。
- 目标目录(第一个参数)必须存在,否则抛出警告且不创建(PHP 8.0+ 会 throw
ZipArchive::ER_NOENT) - 若 ZIP 中有空目录(如
assets/css/),extractTo()会自动创建,无需手动mkdir - 文件权限由系统 umask 和 PHP 进程用户决定,无法通过该方法控制(比如不能强制 0644)
- 不支持解压时重命名文件,需先
getFromName()读取内容再file_put_contents()
遇到 ZipArchive::ER_NOZIP 或乱码文件名怎么办
ER_NOZIP 表示文件不是合法 ZIP 格式(可能损坏、被截断、或根本不是 ZIP),但更隐蔽的问题是中文文件名乱码——这是因为 ZIP 标准未统一编码,PHP 默认按 CP437 解码,而 Windows 打包工具常用 GBK/UTF-8。
