立即学习“PHP免费学习笔记（深入）”；

3、必须设置enctype=”multipart/form-data”，否则文件数据不会被发送到服务器。

4、添加，其中name值将在PHP中用于访问文件信息。

二、使用$_FILES获取上传文件信息

当文件提交后，PHP会自动将文件相关信息填充到$_FILES数组中。该数组包含文件的名称、类型、临时路径、大小以及上传状态等关键信息，是处理上传逻辑的基础。

1、在php脚本中通过$_FILES[‘uploadFile’][‘name’]获取客户端文件名。

2、使用$_FILES[‘uploadFile’][‘tmp_name’]获取服务器端临时存储路径。

3、检查$_FILES[‘uploadFile’][‘Error’]的值，确保其等于UPLOAD_ERR_OK（即0）表示上传成功。

4、可选地读取$_FILES[‘uploadFile’][‘type’]判断MIME类型，$_FILES[‘uploadFile’][‘size’]验证文件大小。

三、将临时文件移动到目标目录

上传的文件最初存储在服务器的临时目录中，必须将其移动到持久化存储位置，否则请求结束后文件将被删除。使用move_uploaded_file()函数完成此操作，它能确保安全性并验证是否为合法上传文件。

1、定义目标保存路径，例如$destination = “uploads/” . basename($_FILES[‘uploadFile’][‘name’]);。

2、调用move_uploaded_file($_FILES[‘uploadFile’][‘tmp_name’], $destination)执行移动操作。

码上飞

码上飞（CodeFlying） 是一款AI自动化开发平台，通过自然语言描述即可自动生成完整应用程序。

138

查看详情

3、仅当move_uploaded_file返回true时才表示移动成功，应对此结果进行条件判断。

4、若目录不存在，需提前使用mkdir()创建uploads目录并确保有写权限。

四、设置PHP配置以支持大文件上传

默认的PHP配置可能限制了可上传文件的最大尺寸，导致较大文件上传失败。需要调整php.ini中的相关参数，使其适应实际需求。

1、修改upload_max_filesize指令，例如设为10M允许最大10兆字节的文件。

2、同步调整post_max_size，确保其值大于或等于upload_max_filesize。

3、检查max_file_uploads限制，确定单次请求最多可上传多少个文件。

4、重启Web服务器使新配置生效，更改仅在服务重启后才会应用。

五、添加安全校验防止恶意文件上传

直接保存用户上传的文件存在安全风险，攻击者可能上传恶意脚本。因此必须实施多重验证机制，包括文件扩展名检查、MIME类型验证和内容扫描。

1、通过strrchr()或pathinfo()提取文件扩展名，并与白名单对比。

2、使用finfo_file()函数检测实际MIME类型，避免伪造类型欺骗。

3、禁止上传.php、.htaccess等敏感扩展名文件，建议将上传后的文件统一重命名。

4、将上传目录置于Web根目录之外，或通过脚本控制访问权限，防止直接执行。