PHP视频上传需协同配置php.ini(upload_max_filesize、post_max_size、max_execution_time)、检查$_FILES'video'、用finfo_file()校验真实MIME类型及扩展名白名单,缺一不可。
PHP 本身不直接限制视频上传的大小和格式,真正起作用的是 php.ini 配置 + 表单层校验 + PHP 运行时验证三者配合。单独改某一处,很容易被绕过或失效。
php.ini 中必须调整的三个关键配置
上传限制首先卡在 PHP 解析请求的底层,upload_max_filesize、post_max_size 和 max_execution_time 必须协同设置,否则哪怕前端校验再严,也会在 $_FILES 为空时一脸懵。
-
upload_max_filesize控制单个文件上限(如100M),注意单位必须带M或G,不能写数字 -
post_max_size必须 ≥upload_max_filesize(还要预留表单字段开销),建议设为105M以防边界溢出 -
max_execution_time要延长(如300),否则大视频上传未完成就超时,$_FILES直接变空,且无明确错误提示
改完需重启 Web 服务(sudo systemctl restart apache2 或 sudo systemctl restart php-fpm),用 phpinfo() 确认值已生效。
$_FILES['video']['error'] 值对应的真实含义
上传失败时,不能只看 $_FILES['video']['error'] === 0 就认为成功——很多“看似成功”的上传其实已被 php.ini 截断,此时 error 是 UPLOAD_ERR_INI_SIZE(值为 1)或 UPLOAD_ERR_FORM_SIZE(值为 2),但文件名、类型仍存在,容易误判。
立即学习“PHP免费学习笔记(深入)”;
-
0:上传成功 -
1:超过upload_max_filesize -
2:超过 HTML 表单中MAX_FILE_SIZE隐藏字段(已废弃,不推荐依赖) -
3:文件只有部分被上传(网络中断等) -
4:没有文件被上传
务必在处理前检查:
if ($_FILES['video']['error'] !== UPLOAD_ERR_OK) {
switch ($_FILES['video']['error']) {
case UPLOAD_ERR_INI_SIZE:
die('文件超出服务器允许最大尺寸');
case UPLOAD_ERR_PARTIAL:
die('文件仅部分上传,请重试');
default:
die('上传异常:' . $_FILES['video']['error']);
}
}
运行时验证视频格式与真实类型
仅靠 $_FILES['video']['type'] 判断格式完全不可信(浏览器可伪造 MIME),必须用 finfo_file() 检查二进制头,再结合白名单扩展名做双重校验。
- 先检查扩展名是否在白名单内(如
['mp4', 'mov', 'webm', 'avi']) - 再用
finfo_open(FILEINFO_MIME_TYPE)获取真实 MIME,匹配video/mp4、video/webm等 - 避免使用
getimagesize()(只支持图片)、exif_imagetype()(不支持多数视频)
示例片段:
$allowedTypes = ['video/mp4', 'video/webm', 'video/quicktime'];
$allowedExts = ['mp4', 'webm', 'mov'];
$ext = strtolower(pathinfo($_FILES['video']['name'], PATHINFO_EXTENSION));
if (!in_array($ext, $allowedExts)) {
die('不支持的视频格式:' . $ext);
}
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $_FILES['video']['tmp_name']);
finfo_close($finfo);
if (!in_array($mimeType, $allowedTypes)) {
die('文件类型不符,检测到:' . $mimeType);
}
前端配合不能少,但不能当唯一防线
HTML 的 accept 属性(如 accept="video/*")只是 UI 提示,不阻止用户手动修改或拖入非法文件;max 属性在部分浏览器中无效。JS 校验也必须做,但仅用于提升体验。
- 用
File.size比对前端提示(如 >100MB 禁止提交),但后端必须重新校验 - 用
File.type做初步过滤,但绝不代替finfo - 上传前生成预览(
URL.createObjectURL())可增强交互,但不影响安全逻辑
真正关键的控制点永远在服务端:配置项、$_FILES['error'] 解析、真实 MIME 检查、扩展名校验,四者缺一不可。漏掉任意一个,都可能让恶意文件或超规视频悄悄落地。
