PHP文件名替换前必须过滤\0、/、\、:、*、?、"、、|等非法字符,其中\0会导致静默失败,/和\会误判为路径分隔符,:在Windows下为保留字符。
PHP 文件名替换前必须过滤哪些非法字符
Windows 和 Linux 对文件名的限制不同,但 PHP 在任意系统上写文件时,只要包含 \0(空字节)、/、\、:、*、?、"、、>、| 就可能报错或被截断。尤其 \0 会导致 fopen() 静默失败,/ 和 \ 会误判为路径分隔符。
-
/和\必须移除或替换,否则file_put_contents('a/b.txt', ...)会创建子目录而非重命名 -
:在 Windows 下是保留字符(如CON:),即使出现在中间也可能触发系统拒绝 -
\0是最隐蔽的坑——用户从表单或数据库读出的字符串若含 NUL 字节,move_uploaded_file()会失败但不报错
用 preg_replace() 安全清理文件名的写法
别用 str_replace() 逐个替换,它无法处理 Unicode 或组合字符;也别用 basename(),它只去路径不清理非法符。推荐正则一次性清除所有危险字符,并保留常见安全符号(字母、数字、下划线、短横、点)。
function sanitize_filename($name) {
// 移除控制字符、空字节、路径分隔符、Windows 保留名字符
$name = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]/', '', $name); // ASCII 控制符
$name = preg_replace('/[\\\\\/:\*\?"<>\|]/', '_', $name); // 替换为下划线
$name = preg_replace('/[^\w\.\-]+/', '_', $name); // 其余非字母数字、点、短横、下划线全转 _
$name = preg_replace('/_+/', '_', $name); // 合并连续下划线
$name = trim($name, '_'); // 去首尾 _
return $name ?: 'unnamed';
}
注意:\w 在 PCRE 默认模式下匹配 ASCII 字母数字和下划线;如需支持中文等 Unicode 字符,得加 u 修饰符并改用 [\p{L}\p{N}\.\-],但需确认服务器 PCRE 版本 ≥ 8.32。
上传文件时重命名的典型流程(含扩展名保护)
用户传来的原始文件名不可信,不能直接拼接进 move_uploaded_file() 路径。要分离扩展名、清理基础名、再拼回,否则可能被绕过(比如传 shell.php.jpg,清理后变成 shell_php.jpg,但攻击者若传 xxx.php\0.jpg,不清理 \0 就会截断为 xxx.php)。
立即学习“PHP免费学习笔记(深入)”;
- 用
pathinfo($original_name, PATHINFO_EXTENSION)提取扩展名,不要用substr(strrchr()) - 对基础名(不含扩展)单独调用
sanitize_filename(),避免扩展名被误改(如把.tar.gz变成.tar_gz) - 拼接时显式加点:
$safe_name . '.' . $ext,不要依赖原始字符串中的点 - 最终检查扩展名是否在白名单中(如
['jpg','png','pdf']),防止sanitize_filename()漏掉双扩展绕过
为什么 iconv() 或 mb_convert_encoding() 不该用在文件名清理上
这两个函数用于编码转换,不是字符过滤。如果原始文件名含乱码(如 GBK 编码的 UTF-8 字符串),强行转码可能产生问号或异常字符,反而引入新非法符。真正该做的是:在接收文件名时就确保编码一致(如统一用 UTF-8 接收),然后只做“字符集无关”的符号清理。
更关键的是:PHP 的 file_*() 系列函数底层调用系统 API,而 Linux 文件系统本身不关心编码,只是把字节流当名字存;Windows 则依赖当前 ANSI 代码页。所以清理动作必须在字节层面操作,而非字符语义层面——这也是为什么正则里用 [\x00-\x08] 而不用 \p{C}。
扩展名截断、NUL 字节、路径分隔符这三类问题,漏掉任何一个都可能导致文件写入失败或目录穿越。实际部署时建议加日志记录清洗前后的文件名,方便排查前端传参异常。
