文件上传需检查$_FILES错误、验证类型并重命名,通过move_uploaded_file保存;下载时设置Content-Disposition等响应头触发下载。1. 前端表单设enctype=”multipart/form-data”;2. 检查$file[‘Error’]===0及允许的扩展名;3. 移动临时文件至目标目录;4. 下载时先输出正确http头,再readfile()输出内容;5. 上传目录禁用执行权限,下载前验证权限。安全重命名、避免直接暴露路径可提升安全性。
文件上传与下载是Web开发中的常见需求,php提供了灵活的处理方式。掌握文件上传的安全处理和正确的下载头设置,能有效提升应用的稳定性和用户体验。
PHP文件上传处理
当用户通过表单上传文件时,PHP会将文件信息存入$_FILES超全局数组中。需要检查上传状态、文件类型、大小和临时路径,确保安全后再移动到目标目录。
基本上传流程如下:
- 前端表单需设置enctype=”multipart/form-data”,否则文件无法上传
- 检查$_FILES[‘file’][‘error’]是否为0,判断上传是否成功
- 验证文件后缀或MIME类型,防止恶意文件上传
- 使用move_uploaded_file()将临时文件保存到指定位置
- 对上传目录进行权限控制,避免直接执行脚本
示例代码:
立即学习“PHP免费学习笔记(深入)”;
if ($_POST && isset($_FILES['upload'])) { $file = $_FILES['upload']; $allowed = ['jpg', 'png', 'pdf']; $ext = pathinfo($file['name'], PATHINFO_EXTENSION); if ($file['error'] === 0 && in_array(strtolower($ext), $allowed)) { $dest = 'uploads/' . basename($file['name']); if (move_uploaded_file($file['tmp_name'], $dest)) { echo "文件上传成功"; } } else { echo "上传失败或文件类型不允许"; } }
文件下载与响应头设置
实现文件下载的关键是正确设置HTTP响应头,告诉浏览器不要显示内容,而是触发下载动作。
常用响应头包括:
- Content-Type: 设置为application/octet-stream或具体MIME类型(如application/pdf)
- Content-Disposition: 使用attachment; filename=”xxx”指定下载文件名
- Content-Length: 建议提供文件大小,便于浏览器显示进度
- Content-Transfer-Encoding: 一般设为binary
示例下载代码:
$file = 'uploads/document.pdf'; if (file_exists($file)) { header('Content-Type: application/pdf'); header('Content-Disposition: attachment; filename="' . basename($file) . '"'); header('Content-Length: ' . filesize($file)); header('Content-Transfer-Encoding: binary'); header('Expires: 0'); header('Cache-Control: must-revalidate'); header('Pragma: public'); readfile($file); exit; } else { http_response_code(404); echo "文件未找到"; }
注意:在输出文件内容前不能有任何html或echo输出,否则会导致头部发送失败或文件损坏。
安全建议与最佳实践
文件操作涉及安全风险,需格外注意:
- 上传文件应重命名,避免覆盖或执行危险文件名(如shell.php)
- 上传目录禁止PHP执行权限(可通过.htaccess或服务器配置)
- 下载时验证用户权限,防止越权访问敏感文件
- 大文件下载可使用readfile()配合fopen/fread分段输出,减少内存占用
- 考虑使用UUID或随机路径存储文件,避免暴露真实结构
基本上就这些。合理处理上传逻辑,搭配正确的下载头设置,就能实现安全可靠的文件交互功能。