PHP文件上传必须先检查$_FILES'file'是否为UPLOAD_ERR_OK,再校验扩展名、用move_uploaded_file安全落地,确保表单enctype和php.ini配置正确。
PHP 文件上传必须检查 $_FILES 结构和错误码
PHP 文件上传失败,90% 是因为没读 $_FILES['file']['error'] 就直接处理。这个数组不是“有值就代表成功”,它包含 name、tmp_name、size、type、error 五个键,其中 error 才是判断依据。常见错误码:0(成功),1(超 upload_max_filesize),2(超 HTML 表单 MAX_FILE_SIZE),4(未选择文件)。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
装修公司源码,采用DIV+CSS布局,首页顶部采用了超大宽屏banner焦点图切换,带伸缩功能的导航条。首页信息展示量大,有利于SEO优化,首页版块包括,导航,焦点图切换,案例,行业动态,装修经验,装修知识。源码支持伪静态,后台开启即可,服务器必须支持rewrite功能,否则无法实现伪静态功能。信息支持二级分类。后台支持信息批量修改,删除,可以支持,视频,图片,附件上传。
- 永远先判断
if ($_FILES['file']['error'] === UPLOAD_ERR_OK),而不是只看!empty($_FILES['file']['tmp_name']) -
$_FILES['file']['tmp_name']是临时路径,仅本次请求有效,不复制或移动就失效 - 不要信任
$_FILES['file']['type'](浏览器提供,可伪造),校验 MIME 类型应使用finfo_file()或扩展名白名单
用 move_uploaded_file() 而不是 copy() 或 rename()
move_uploaded_file() 是 PHP 唯一安全的上传文件落地方式。它会检查源文件是否为合法上传临时文件(即是否在 $_FILES 中生成),防止 LFI 或路径遍历攻击。直接 copy($_FILES['file']['tmp_name'], $dest) 是严重安全隐患。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 目标路径必须是绝对路径,建议用
__DIR__ . '/uploads/' . basename($safe_filename)拼接 - 上传前确保上传目录存在且 Web 服务器用户(如 www-data)有写权限
- 避免用户可控的目录名或完整路径拼接,例如不要用
$_POST['dir']构造目标路径 - 若需重命名文件,用哈希+扩展名组合(如
md5_file($_FILES['file']['tmp_name']) . '.' . pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)),别直接用原名
表单和 php.ini 配置不匹配会导致静默失败
前端 缺失、max_file_size 隐藏域缺失、或后端 php.ini 的 file_uploads 关闭,都会让 $_FILES 为空,但不会报错——容易误判为“没提交”。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- HTML 表单必须带
enctype="multipart/form-data",否则$_FILES永远为空 - 服务端可通过
ini_get('file_uploads')和ini_get('upload_max_filesize')动态检查配置 - 大文件上传要同步调大
post_max_size(必须 ≥upload_max_filesize),否则整个 POST 被截断,$_FILES为空且$_POST也不全 - 开发时加一句
var_dump($_FILES, $_POST, ini_get('file_uploads'));快速定位是前端漏配还是后端限制
简单可用的上传脚本示例(含基础校验)
以下是一个最小可行、带错误反馈的上传逻辑,不依赖框架,可直接测试:
注意 uploads/ 目录需手动创建并设好权限;uniqid() 避免同名覆盖,但生产环境建议用更健壮的文件名生成策略;真正的安全校验还需加 MIME 类型检测和病毒扫描,但那是另一层的事了。
