php curl 返回 zip 二进制流需先完整接收并校验有效性(如检查 PK 头、http 状态码、Content-Type),再通过临时文件或 php://memory 流解压;须过滤路径穿越风险,避免内存溢出应边下载边写磁盘。
PHP cURL 请求返回 zip 二进制流怎么直接解压
不能直接用 unzip 命令或 ZipArchive::open() 打开 HTTP 响应体——它不是文件路径,而是内存中的原始字节流。必须先确保完整接收、校验有效性,再喂给解压逻辑。
- 用
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true)拿到完整响应体(String类型),别漏掉这句,否则curl_exec()可能直接输出或返回false - 检查响应头:
Content-Type应为application/zip或application/octet-stream,Content-Length非零,且响应体长度与之匹配 - 用
file_put_contents('temp.zip', $response)写入临时文件再解压最稳;若坚持内存操作,需用fopen('php://memory', 'r+b')+stream_copy_to_stream()构造可读流,再传给ZipArchive::open()
ZipArchive::open() 报错 “Not a zip archive” 怎么排查
常见于服务器返回了 HTTP 错误页(如 502、404 html)、重定向响应、或 gzip 压缩未解包——ZipArchive 不会自动解 gzip,也不识别 HTML。
- 先
echo bin2hex(substr($response, 0, 4)):合法 zip 开头是504b0304(即 PK..),如果不是,说明根本不是 zip - 检查
curl_getinfo($ch, CURLINFO_HTTP_CODE)是否为 200;非 200 时$response很可能含错误 HTML - 确认没开启
CURLOPT_ENCODING自动解压:如果服务端返回 gzip,但 PHP 没配curl_setopt($ch, CURLOPT_ENCODING, ''),响应体仍是 gzip 二进制,不是 zip
解压到指定目录要注意路径穿越风险
ZipArchive 默认不校验文件路径,攻击者构造含 ../ 的 zip 文件可写入任意位置,必须手动过滤。
- 遍历
ZipArchive::statIndex()或用ZipArchive::getNameIndex()获取每个文件名 - 对每个文件名执行:
realpath($targetDir . '/' . $filename),再判断是否仍位于$targetDir下(用strpos($realPath, $targetDir) === 0) - 跳过含
..、以/开头、或含�的文件名;空文件名或仅含点的(.,..)也跳过
大压缩包内存溢出或超时怎么办
直接 file_get_contents() 或全量 curl_exec() 会把整个 zip 加载进内存,100MB+ 就容易崩。得边下载边解,或分块处理。
立即学习“PHP免费学习笔记(深入)”;
- 用
curl_setopt($ch, CURLOPT_FILE, $fp)把响应直接写入磁盘文件,避免内存中转 - 解压时用
ZipArchive::extractTo()而非getFromName()全加载——前者流式写入,后者把单个文件内容读进内存 - 调大限制:
set_time_limit(0)、ini_set('memory_limit', '512M'),但治标不治本;优先优化 IO 路径
实际最难的不是解压动作本身,是判断响应体到底是不是 zip、有没有被中间层篡改、以及解压目标路径是否安全——这三个点漏一个,程序就可能静默失败或留下漏洞。