所有上传文件都会先被PHP写入系统临时目录,再由开发者用move_uploaded_file()主动搬走;不搬则几小时后被自动清理。$_FILES是PHP独立解析multipart/form-data生成的专属数组,'name'不可信,'tmp_name'是唯一安全源路径,'error'必须优先检查为UPLOAD_ERR_OK;仅move_uploaded_file()能安全搬运,因它校验文件是否确为本次上传。
upload_tmp_dir 控制),再由开发者用 move_uploaded_file() 主动搬走;不搬,它就会在几小时后被系统自动清理**。
$_FILES 数组从哪来?它不是 $_POST 的一部分
很多人误以为 $_FILES 是 $_POST 的子集,其实它是 PHP 独立解析 multipart/form-data 请求体后生成的专属结构。只要表单用了 enctype="multipart/form-data" 且有 <input type="file">,PHP 就会填充这个数组,与是否提交其他字段无关。
-
$_FILES['my_file']['name']是用户本地原始文件名,**不可信,可能含路径(如../../etc/passwd)或非法字符 -
$_FILES['my_file']['tmp_name']是唯一可安全用于move_uploaded_file()的源路径,形如/tmp/phpABC123 -
$_FILES['my_file']['error']必须第一优先检查,UPLOAD_ERR_OK(值为 0)才是真成功,其他都是失败,哪怕tmp_name看起来像有值 - 浏览器提交的
type字段(即 MIME 类型)来自客户端 HTTP 头,可被任意伪造,不能作为类型判断依据
为什么 move_uploaded_file() 是唯一安全的搬运函数?
PHP 明确禁止用 copy()、rename() 或 fopen()+fwrite() 处理上传文件,因为这些操作绕过 PHP 的上传安全校验机制。只有 move_uploaded_file() 会内部检查该文件是否确实来自本次上传(比对 tmp_name 是否在临时目录且未被篡改),否则直接返回 false。
- 若用
copy($_FILES['f']['tmp_name'], $dest),攻击者可构造恶意请求,让tmp_name指向任意服务器文件(如/etc/shadow),实现文件读取 -
move_uploaded_file()对源路径有硬性限制:必须是 PHP 本次请求创建的临时文件,且不能跨文件系统移动(但同磁盘分区没问题) - 目标路径
$dest必须确保目录存在、有写权限,且不能被 Web 服务器直接执行(例如不要放在webroot/uploads/下,而应放/var/www/uploads/并配置 Nginx 禁止 .php 执行)
常见错误现象:上传“成功”但文件不见了
这几乎都源于没理解“临时文件生命周期”。PHP 不会保留上传文件,它只负责把二进制数据写进临时目录,然后交给你处理——你没搬,它就自毁。
- 脚本执行中途
exit或抛出未捕获异常 →tmp_name文件不会自动清理,但下次请求时可能已被系统clean掉(取决于session.gc_maxlifetime和系统策略) - 忘记检查
$_FILES['x']['error'] === UPLOAD_ERR_OK,直接调move_uploaded_file()→ 函数返回false,但没报错,文件“消失” - 目标目录权限不足(如 Apache 用户无法写入
uploads/)→move_uploaded_file()返回false,日志里可能只有 “Permission denied” - 用了相对路径如
"uploads/".$name,但脚本工作目录不是你预期的(比如 CLI 运行或 symlink 路径)→ 文件被写到奇怪位置
if ($_FILES['avatar']['error'] !== UPLOAD_ERR_OK) {
die('上传失败,错误码:' . $_FILES['avatar']['error']);
}
$ext = pathinfo($_FILES['avatar']['name'], PATHINFO_EXTENSION);
$newName = uniqid('avatar_') . '.' . strtolower($ext);
$dest = '/var/www/shared/uploads/' . $newName; // 绝对路径,Web 根目录外
if (!move_uploaded_file($_FILES['avatar']['tmp_name'], $dest)) {
error_log('move_uploaded_file failed for ' . $_FILES['avatar']['tmp_name']);
die('保存失败,请联系管理员');
}
真正容易被忽略的点是:**move_uploaded_file() 成功只代表“搬过去了”,不代表“能访问”或“是安全的”**。后续还要做 MIME 二次检测(finfo_open())、内容扫描、缩略图生成等,那已是另一个层面的问题了。 
