php文件上传必须检查$_files而非$_post,其结构含name、tmp_name、size、Error、type五字段;须先验error===upload_err_ok,再三重校验后缀、mime与文件头,用move_uploaded_file()移出临时文件,并同步调优php及web服务器配置。
PHP 文件上传必须检查 $_FILES 而不是 $_POST
用户常误以为上传的文件会出现在 $_POST 里,实际它只存在于 $_FILES 数组中,且结构固定:['name']、['tmp_name']、['size']、['error']、['type']。漏查 ['error'] 是最常见隐患——哪怕表单提交成功,['error'] 为 UPLOAD_ERR_OK(值为 0)才代表真正上传成功;其他非零值(如 UPLOAD_ERR_INI_SIZE = 1)说明被 PHP 配置拦截了,但前端完全感知不到。
实操建议:
- 始终先判断
$_FILES['file']['error'] === UPLOAD_ERR_OK,再处理后续逻辑 - 不要依赖
['type']做类型校验——浏览器可伪造,仅作参考 -
['tmp_name']是服务器临时路径,仅在脚本生命周期内有效,必须用move_uploaded_file()移走,不能用copy()或rename()
上传前必须验证:后缀、MIME、文件头三者缺一不可
仅检查扩展名(如 .jpg)或仅读 ['type'] 极易绕过。攻击者可上传 shell.php.jpg 并通过解析漏洞执行代码。真实安全做法是三重校验:
- 提取原始文件名后缀,比对白名单(如
['jpg', 'png', 'pdf']),注意用pathinfo($filename, PATHINFO_EXTENSION),别用substr(strrchr())类写法 - 用
finfo_open(FILEINFO_MIME_TYPE)读取真实 MIME 类型,和后缀逻辑匹配(如image/jpeg应对应.jpg) - 对文件头(magic bytes)做最小化校验:读取前 4 字节,比对 JPEG(
xffxd8xffxe0)、PNG(x89x50x4ex47)等特征
示例关键片段:
立即学习“PHP免费学习笔记(深入)”;
$finfo = finfo_open(FILEINFO_MIME_TYPE); $mimeType = finfo_file($finfo, $_FILES['file']['tmp_name']); finfo_close($finfo); if (!in_array($mimeType, ['image/jpeg', 'image/png'])) { die('不支持的文件类型'); } move_uploaded_file() 失败的 4 个典型原因
这个函数返回 false 却不报错,容易让人卡住。常见原因有:
- 目标目录不存在或无写权限(PHP 进程用户需对父目录有
w权限,而不仅是www-data组) - 目标路径含非法字符或过长(windows 对路径总长限制约 260 字符,linux 一般无此问题但要注意编码)
-
open_basedir配置限制了可操作路径,需确认目标目录在允许范围内 - 源
['tmp_name']已被其他脚本清理(比如同一请求中多次调用move_uploaded_file(),第二次必失败)
调试时务必加日志:error_log("move failed: " . print_r($_FILES, true));,并检查 sys_get_temp_dir() 返回的临时目录是否可写。
大文件上传必须同步调整 PHP 和 Web 服务器配置
默认 PHP 只允许 2MB 文件,超限后 $_FILES 为空且 ['error'] 为 0 —— 这是最反直觉的坑。必须同时改三项:
-
upload_max_filesize(php.ini):设为期望最大值,如50M -
post_max_size(php.ini):必须 ≥upload_max_filesize,否则 POST 数据整体被截断 - Web 服务器层:nginx 需加
client_max_body_size 50M;;apache 则检查LimitRequestBody指令
改完记得重启服务,并用 phpinfo() 确认生效。别信“改了 php.ini 就行”——漏掉任一层,上传都会静默失败。
上传路径生成、随机文件名、防覆盖这些属于业务逻辑细节,但核心就一点:所有校验必须在 move_uploaded_file() 之前完成,且不能跳过任何一层。临时文件一旦移出 tmp 目录,失控风险就立刻上升。