file_get_contents适合小文件但需设超时和状态码校验,curl才是大文件及精细控制的可靠选择,务必流式写入、正确验证https证书。
用 file_get_contents 下载小文件最简单,但默认不支持超时和重试
直接调用 file_get_contents 是 PHP 里最轻量的远程文件获取方式,适合下载几 MB 以内的文本或二进制资源。但它底层依赖 allow_url_fopen 开启,且无法精细控制连接/读取超时、HTTP 状态码校验、断点续传等。
常见错误现象:Warning: file_get_contents(): failed to open stream: Connection timed out —— 默认超时是 60 秒,但实际网络抖动时可能卡住更久;或者返回空字符串却没报错,其实是 HTTP 404/502 被静默吞掉了。
- 务必配合
stream_context_create设置超时:['http' => ['timeout' => 10]] - 检查返回值是否为
false,而不是只判断空字符串 - 若目标服务器返回非 200 状态码,
file_get_contents默认仍会返回 body(除非开启ignore_errors => false)
cURL 是下载大文件或需要控制细节的唯一靠谱选择
超过 10MB 的文件、需要处理重定向、自定义 Header、跳过 SSL 验证、或捕获真实 HTTP 状态码时,必须用 cURL。它比 file_get_contents 多几行代码,但可控性高一个数量级。
容易踩的坑:curl_exec 返回 false 时,很多人只看 curl_error,却忽略 curl_getinfo($ch, CURLINFO_HTTP_CODE) —— 比如 403 被拒绝,curl_error 可能为空,但状态码是关键线索。
立即学习“PHP免费学习笔记(深入)”;
- 下载前先
curl_setopt($ch, CURLOPT_NOBODY, true)发 HEAD 请求,预判文件大小和状态 - 写入文件别用
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true)全部载入内存,改用CURLOPT_FILE直接流式写入 - 对 HTTPS 资源,避免硬设
CURLOPT_SSL_VERIFYPEER => false,优先用系统 CA 包 +CURLOPT_CAINFO
大文件边下边存,别全 load 进内存再写
用 file_get_contents 或 curl_exec 配合 RETURNTRANSFER,本质是把整个远程文件读进 PHP 内存再 file_put_contents,遇到 100MB 文件极易触发 Allowed memory size exhausted。
正确做法是打开本地文件句柄,让 cURL 把数据流直接灌进去:
fp = fopen('/tmp/file.zip', 'w');
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_exec($ch);
fclose($fp);
注意:CURLOPT_FILE 要求句柄已存在且可写,且不能复用同一句柄跨多次 curl_exec(除非重新 fseek)。
- 下载中途失败时,本地文件可能残留脏数据,建议先写临时文件,成功后再
rename - 如果要限速或监控进度,用
CURLOPT_PROGRESSFUNCTION回调,而非轮询 - PHP 8.1+ 支持
CURLOPT_XFERINFOFUNCTION替代旧版PROGRESSFUNCTION,更稳定
HTTPS 证书验证失败不是加 verify_peer=false 就完事
很多脚本在内网或测试环境直接关 SSL 验证,上线后遇到证书链不全、域名不匹配、过期等问题就崩。真实生产环境必须明确证书来源。
系统级 CA 通常在 /etc/ssl/certs/ca-certificates.crt(Linux)或通过 openssl_get_cert_locations() 查路径。硬编码证书路径比关验证安全得多。
- 用
curl_setopt($ch, CURLOPT_CAINFO, '/path/to/cacert.pem')指向 PEM 格式证书包 - 若目标用私有 CA,把这个 CA 的 root cert 追加到系统证书包,或单独提供给 cURL
- 不要用
CURLOPT_SSL_VERIFYHOST => 0,它已废弃;应设为2(验证域名)
证书问题往往表现为 SSL certificate problem: unable to get local issuer certificate,这时候光调参数没用,得查证书链本身是否完整。
