php文件上传需前端设post与enctype="multipart/form-data"、含name属性的file输入框;服务端通过$_files获取信息,用move_uploaded_file()移动临时文件;须校验mime类型与扩展名,禁用不可信的$_files['type'];配置file_uploads、upload_max_filesize等参数。
PHP 文件上传的基本流程
PHP 文件上传本质是通过表单提交 POST 数据,服务端接收并处理临时文件。核心分三步:前端准备、服务端接收、后端安全处理。
前端需要满足哪些条件?
必须使用 POST 方法,且表单 enctype 属性设为 multipart/form-data;否则文件内容不会被编码发送。同时需包含 <input type="file"> 元素,并建议设置 name 属性(如 name="upload_file"),该名称将用于 PHP 中的 $_FILES 数组键名。
- 不能用 GET 提交文件
- 避免多个同名
input[type=file]导致覆盖(如需多文件,应使用数组写法:name="files[]") - 可加
accept和maxFileSize(前端校验仅作提示,不可替代后端验证)
PHP 如何获取和判断上传结果?
上传后,PHP 将信息存入 $_FILES 超全局数组。以 name="upload_file" 为例,$_FILES['upload_file'] 是一个关联数组,含 name、type、tmp_name、error、size 五个键。
MVM mall 网上购物系统
下载
采用 php+mysql 数据库方式运行的强大网上商店系统,执行效率高速度快,支持多语言,模板和代码分离,轻松创建属于自己的个性化用户界面 v3.5更新: 1).进一步静态化了活动商品. 2).提供了一些重要UFT-8转换文件 3).修复了除了网银在线支付其它支付显示错误的问题. 4).修改了LOGO广告管理,增加LOGO链接后主页LOGO路径错误的问题 5).修改了公告无法发布的问题,可能是打压
-
error === UPLOAD_ERR_OK表示上传成功(其他值见 PHP 官方错误码) -
tmp_name是临时路径,必须用move_uploaded_file()移动,不能用copy()或rename() -
size是字节数,需与upload_max_filesize和post_max_size配置匹配
为什么不能直接信任 $_FILES['type']?
$_FILES['type'] 由浏览器提供,可被轻易伪造,完全不可信。真实类型必须通过服务端检测,例如:
立即学习“PHP免费学习笔记(深入)”;
- 用
finfo_open(FILEINFO_MIME_TYPE)读取二进制头信息 - 检查文件扩展名是否在白名单中(但需结合 MIME 类型,防止绕过)
- 对图片类文件,可用
getimagesize()验证是否为有效图像 - 禁止上传可执行文件(如 .php、.phar、.htaccess)到 Web 可访问目录
常见配置项和注意事项
PHP 的上传行为受 php.ini 多个参数控制,面试常考:
-
file_uploads = On—— 必须开启,否则整个上传功能禁用 -
upload_max_filesize = 2M—— 单个文件最大限制(注意单位是字节,支持 M/G) -
post_max_size = 8M—— POST 总数据量上限,必须 ≥ upload_max_filesize -
max_execution_time和max_input_time影响大文件上传超时 - 临时目录
upload_tmp_dir需有写权限,且不应暴露在 Web 根目录下
