php文件上传必须严格校验$_files['error']、用move_uploaded_file()落盘、重命名并校验真实mime类型、防范大文件超时,否则易致文件丢失或安全漏洞。
PHP 文件上传不是靠前端按钮“点一下”就完事的,关键在服务端对 $_FILES 的正确解析、校验和落盘操作。漏掉任意一环,轻则文件丢失,重则被写入恶意脚本。
PHP 文件上传必须检查 $_FILES['xxx']['error']
这是最常被跳过的一步——直接用 $_FILES['file']['tmp_name'] 去移动文件,结果发现怎么都传不成功。因为 $_FILES['file']['error'] 不为 0 就说明上传已失败,可能是超限、临时目录不可写、表单未设 enctype="multipart/form-data" 等。
-
0:上传成功 -
1或2:文件大小超过upload_max_filesize或MAX_FILE_SIZE隐藏字段限制 -
3:文件只有部分被上传(网络中断等) -
4:没有文件被上传($_FILES为空) -
6–8:临时目录缺失、php.ini 配置禁用上传、超时等系统级问题
务必先判断:
if ($_FILES['avatar']['error'] !== UPLOAD_ERR_OK) {<br> die('上传失败:' . $_FILES['avatar']['error']);<br>}
move_uploaded_file() 是唯一安全的落盘方式
别用 copy()、rename() 或直接 file_put_contents(file_get_contents()) 处理 $_FILES['x']['tmp_name']。PHP 的临时文件路径可能指向共享临时区,且 tmp_name 并非普通文件路径,而是上传上下文绑定的句柄标识。只有 move_uploaded_file() 会验证该文件确由本次上传生成,防止 LFI 或文件覆盖攻击。
立即学习“PHP免费学习笔记(深入)”;
- 目标路径必须是绝对路径,相对路径容易因工作目录变化出错
- 目标目录需有 webserver 用户(如 www-data)的写权限,但不能开放执行权限(禁止
chmod 755到上传目录) - 建议用
dirname(__FILE__)拼接,例如:move_uploaded_file($_FILES['f']['tmp_name'], __DIR__ . '/uploads/' . $safe_name)
文件名和类型校验不能只信客户端传来的 $_FILES['x']['name'] 和 ['type']
$_FILES['x']['name'] 可被任意篡改,['type'] 完全由浏览器发送,毫无可信度。真实 MIME 类型必须用 finfo_file() 或 getimagesize()(仅图片)二次确认;文件名要过滤掉路径遍历字符(../)、空字节、控制符,并强制重命名。
- 用
pathinfo($name, PATHINFO_EXTENSION)提取扩展名,再白名单比对(如in_array(strtolower($ext), ['jpg', 'png', 'pdf'])) - 用
finfo_open(FILEINFO_MIME_TYPE)读取真实类型,拒绝text/html、application/x-php等危险类型 - 生成新文件名推荐用
uniqid() . '_' . random_int(1000, 9999),避免时间戳或用户输入参与命名
大文件上传需要调低超时并分段处理
默认 max_execution_time=30 和 post_max_size=8M 对几十 MB 文件根本不够。单纯调高 php.ini 参数只是权宜之计,真要支持大文件,得结合前端分片(如使用 WebUploader 或 Uppy)+ 后端合并逻辑,否则用户刷新页面就前功尽弃。
- 临时增加超时:
set_time_limit(300)(慎用,可能影响其他请求) - 确保
upload_max_filesize和post_max_size同步调大,且后者 ≥ 前者 + 表单其他字段体积 - 上传中不要做耗时校验(如病毒扫描),应先落盘再异步处理
真正难的不是“怎么把文件存到服务器”,而是“怎么确认它安全、可控、可追溯”。从 $_FILES 出现那一刻起,每一步都要带着怀疑去验证——它是不是真的?有没有被污染?路径是否越界?权限是否最小化?这些细节不卡死,功能越完整,风险越隐蔽。
