首先修改 php.ini 中 upload_max_filesize、post_max_size 等参数并重启服务,再通过 PHP 代码验证文件类型,结合 finfo 检测 MIME 类型以确保安全。
在搭建 PHP 网站时,文件上传功能很常见,但默认设置可能限制了上传文件的大小或类型。为了确保用户能顺利上传所需文件,同时保障服务器安全,需要合理配置上传限制。以下是调整 PHP 文件上传大小与类型限制的具体方法。
修改 php.ini 配置文件
PHP 的上传限制主要由 php.ini 配置文件控制。找到并编辑该文件(路径通常为 /etc/php/{版本号}/apache2/php.ini 或 /usr/local/etc/php/php.ini),修改以下关键参数:
- upload_max_filesize:设置单个文件最大上传大小。例如:
upload_max_filesize = 20M - post_max_size:设置 POST 数据最大大小,必须大于等于 upload_max_filesize。例如:
post_max_size = 25M - max_file_uploads:限制每次请求最多可上传的文件数量。例如:
max_file_uploads = 20 - memory_limit:脚本执行可用的最大内存,建议适当调高以避免大文件处理中断。例如:
memory_limit = 128M - max_execution_time 和 max_input_time:控制脚本最大执行时间和输入解析时间,上传大文件时建议增加。例如:
max_execution_time = 300max_input_time = 300
修改完成后重启 Web 服务(如 Apache 或 nginx)使配置生效。
限制允许上传的文件类型
PHP 本身不直接通过配置限制文件类型,需在代码中进行判断。建议在接收上传的 PHP 脚本中检查 $_FILES['file']['type'] 和文件扩展名,仅允许安全类型。
立即学习“PHP免费学习笔记(深入)”;
示例代码:
$allowed_types = ['image/jpeg', 'image/png', 'application/pdf']; $file_type = $_FILES['file']['type']; if (!in_array($file_type, $allowed_types)) { die('不允许的文件类型'); } // 同时建议结合 MIME 类型检测函数 finfo $finfo = finfo_open(FILEINFO_MIME_TYPE); $detected_type = finfo_file($finfo, $_FILES['file']['tmp_name']); if (!in_array($detected_type, $allowed_types)) { die('文件类型检测不通过'); }
使用 .htaccess 临时调整(适用于共享主机)
若无法修改主 php.ini,可在网站根目录使用 .htaccess 文件覆盖部分设置(仅限 Apache):
php_value upload_max_filesize 10M php_value post_max_size 12M php_value max_file_uploads 10
注意:此方法仅在 PHP 以 Apache 模块方式运行时有效,且不能更改所有配置项。
验证配置是否生效
创建一个 PHP 文件写入 phpinfo();,访问后搜索相关配置项,确认修改后的值已加载。重点关注 upload_max_filesize、post_max_size 等字段的实际值。
基本上就这些。正确配置上传限制既能满足业务需求,又能防止恶意文件上传带来的风险。