$_FILES数组是php处理文件上传的核心,自动填充于enctype=”multipart/form-data”表单提交后,含name、tmp_name、size、Error、type五键;tmp_name仅本次请求有效,须用move_uploaded_file()安全移动,不可用copy()或rename()。
PHP 文件上传基础:$_FILES 数组怎么用
PHP 文件上传依赖 $_FILES 超全局数组,它不是手动构造的,而是表单提交 enctype="multipart/form-data" 后由 PHP 自动填充。常见错误是忽略它的嵌套结构——每个上传字段对应一个一维数组,含 name、tmp_name、size、error、type 五个键。
关键点:tmp_name 是临时文件路径,仅在本次请求生命周期内有效;move_uploaded_file() 是唯一安全移动它的函数,不能用 copy() 或 rename() 替代。
if ($_FILES['avatar']['error'] === UPLOAD_ERR_OK) { $tmp = $_FILES['avatar']['tmp_name']; $dest = '/var/www/uploads/' . basename($_FILES['avatar']['name']); if (move_uploaded_file($tmp, $dest)) { echo "上传成功"; } }绕过前端校验的常见攻击与防御手段
前端 和 js 校验完全不可信,攻击者可直接发 POST 请求上传任意文件。必须在服务端重验:
-
$_FILES['file']['error']必须为UPLOAD_ERR_OK(0),否则跳过后续处理 - 不要信任
$_FILES['file']['type'](浏览器伪造,如把shell.php改成image/jpeg) - 用
finfo_open(FILEINFO_MIME_TYPE)检查真实 MIME 类型,例如image/png、application/pdf - 对文件扩展名做白名单校验,且从文件内容推断,而非
pathinfo($name, PATHINFO_EXTENSION)
防止文件覆盖和路径遍历的关键配置
用户可控的 $_FILES['file']['name'] 可能含 ../ 或空字节(%00),导致写入非预期目录或截断扩展名。PHP 7.4+ 已默认过滤空字节,但仍需主动防护:
立即学习“PHP免费学习笔记(深入)”;
- 用
basename()提取原始文件名,丢弃所有路径信息 - 生成服务端唯一文件名(如
uniqid() . '_' . random_int(1000,9999)),不拼接用户输入 - 目标目录权限设为
755,禁止执行(Web 服务器用户不能有x权限) - 上传目录不要放在 Web 根目录下,或通过 Web 服务器配置禁止执行脚本(如 nginx 的
location ~ .php$ { deny all; })
PHP 配置项直接影响上传成败与安全
这些 ini 设置不是可选优化项,而是硬性门槛:
-
file_uploads = On:必须开启,否则$_FILES始终为空 -
upload_max_filesize = 8M:限制单个文件大小,注意单位是M不是MB -
post_max_size = 16M:必须 ≥upload_max_filesize,否则整个 POST 被截断 -
max_execution_time = 300:大文件上传可能超时,需适当调高 -
open_basedir若启用,确保包含上传临时目录(sys_get_temp_dir()返回值)
检查当前值可用 ini_get('upload_max_filesize'),修改后需重启 PHP-FPM 或 apache。