最可靠方式是用ZipArchive配合路径校验:先验证ZIP魔数,再遍历文件名用realpath判断是否在目标目录内,确保目录存在且可写,最后extractTo解压。
php用 ZipArchive 解压 ZIP 文件到指定目录最可靠
直接用 ZipArchive 是 PHP 官方推荐、兼容性好、可控性强的方式。它不依赖 shell 命令,也不需要额外扩展(PHP 7.4+ 默认启用),比 exec('unzip') 更安全、更可移植。
常见错误是没检查解压路径合法性,导致目录遍历(如 ZIP 里含 ../../etc/passwd),或忽略 ZipArchive::extractTo() 对目标目录的写入权限要求。
- 目标目录必须已存在且 PHP 进程有写权限(
is_writable()要返回 true) - 务必调用
$zip->getFromName($file)或遍历文件名做路径规范化,避免 zip bomb 或路径穿越 - 解压前建议用
$zip->numFiles限制文件数量,防内存耗尽
如何安全地防止 ZIP 路径穿越(../ 攻击)
ZIP 文件可被构造为包含 ../../../var/www/shell.php 这类路径,直接 extractTo() 会写到任意位置。PHP 不自动过滤,必须手动校验。
核心思路:对每个待解压文件名,用 realpath() + dirname() 判断是否仍在目标目录内。
立即学习“PHP免费学习笔记(深入)”;
// $targetDir = '/var/www/uploads/unzip/'; // $zipFile = '/tmp/upload.zip'; $zip = new ZipArchive(); if ($zip->open($zipFile) === TRUE) { for ($i = 0; $i < $zip->numFiles; $i++) { $name = $zip->getNameIndex($i); $safePath = realpath($targetDir . '/' . $name); // 检查是否仍落在 $targetDir 下 if ($safePath === false || strpos($safePath, realpath($targetDir)) !== 0) { throw new Exception("Unsafe path detected: {$name}"); } } $zip->extractTo($targetDir); $zip->close(); } extractTo() 的参数陷阱和权限细节
ZipArchive::extractTo() 第二个参数支持数组形式传入白名单文件名,但很多人误以为它是“只解压这些”,其实它只是「限制解压范围」——如果文件不存在于 ZIP 中,不会报错,也不会创建空目录。
- 目标目录(第一个参数)必须存在,否则抛出警告且不创建(PHP 8.0+ 会 throw
ZipArchive::ER_NOENT) - 若 ZIP 中有空目录(如
assets/css/),extractTo()会自动创建,无需手动mkdir - 文件权限由系统 umask 和 PHP 进程用户决定,无法通过该方法控制(比如不能强制 0644)
- 不支持解压时重命名文件,需先
getFromName()读取内容再file_put_contents()
遇到 ZipArchive::ER_NOZIP 或乱码文件名怎么办
ER_NOZIP 表示文件不是合法 ZIP 格式(可能损坏、被截断、或根本不是 ZIP),但更隐蔽的问题是中文文件名乱码——这是因为 ZIP 标准未统一编码,PHP 默认按 CP437 解码,而 windows 打包工具常用 GBK/UTF-8。
- 先用
file_get_contents($zipFile, false, NULL, 0, 4) === 'PKx03x04'快速确认魔数 - 中文名问题没有通用解法:linux 环境下可用
iconv('GBK', 'UTF-8', $name)尝试转换;更稳妥的是让前端上传前统一用 UTF-8 编码 ZIP(如 jsZip) - 某些老旧 ZIP(如 macOS Archive Utility 生成)含非标准扩展字段,
ZipArchive可能静默跳过部分文件,建议加error_get_last()检查
实际项目中,路径校验和 ZIP 魔数验证这两步最容易被跳过,结果上线后被恶意 ZIP 触发越权写入或崩溃。宁可多写几行判断,也不要依赖“用户不会传坏文件”这种假设。