php文件下载必须在输出任何内容前设置http头,否则会导致下载损坏或解析失败;echo/print等输出会触发“headers already sent”错误,ob_start()无法挽回已发送内容;readfile()适合小文件,fpassthru()更适合大文件或流式传输。
PHP 实时输出文件下载不能和常规 html 页面混用,一旦开始输出二进制数据(比如 fopen($file, 'rb') + fread),就不能再输出任何额外的 HTTP 头、HTML 标签或空白字符,否则会导致下载损坏或浏览器解析失败。
为什么 echo 或 print 后接下载逻辑会失败
常见错误是先输出一段提示文字(如
正在准备下载...
),再调用 readfile() 或流式读取。这会让 PHP 先发送 HTTP 响应体,导致后续的 Content-Disposition 等头无法设置,或者被浏览器当作 HTML 渲染而非触发下载。
- HTTP 响应头必须在任何输出之前发送,而
echo、print、甚至开头的空白符都会触发 headers already sent 错误 -
ob_start()不能“挽回”已发送的内容——它只能缓冲尚未发送的部分;一旦flush()或脚本结束自动输出,缓冲区内容就不可逆地发往客户端 - 浏览器对
Content-Type和Content-Disposition敏感:若响应体开头是,即使后面跟了 pdf 字节,也会当成 HTML 解析并报错
readfile() 和 fpassthru() 的适用边界
这两个函数都用于直接输出文件内容,但行为不同,选错会影响大文件或远程流的可靠性:
-
readfile()把整个文件一次性读入内存再输出,适合小文件(memory_limit 错误 -
fpassthru()是流式转发,适合大文件或fopen('php://output')场景,但要求资源句柄为只读且未关闭 - 如果文件路径来自用户输入,必须用
realpath()+is_file()+is_readable()校验,否则可能泄露服务器路径或读取任意文件
如何安全实现“前端提示 + 后端下载”分离
真正的实时下载必须由独立 PHP 脚本(如 download.php?id=123)完成,前端用纯 JS 触发,不混合渲染逻辑:
立即学习“PHP免费学习笔记(深入)”;
- 页面上用
下载或fetch()+URL.createObjectURL()(仅限小文件) -
download.php开头立刻设置:header('Content-Type: application/octet-stream');、header('Content-Disposition: attachment; filename="xxx.zip"');、header('Cache-Control: private'); - 禁用输出缓冲:
if (ob_get_level()) ob_end_clean();,防止框架或配置残留缓冲干扰 - 用
set_time_limit(0)防止超时中断大文件传输
最容易被忽略的是:Nginx/Apache 可能缓存 Content-Disposition 响应,或 FastCGI 设置了 fastcgi_buffering on,导致流式下载卡住或截断——此时需在 Web 服务器配置中显式关闭缓冲,而不是只改 PHP 代码。