php代码示例如何实现文件上传_php文件上传代码示例【示例】

PHP文件上传必须先检查$_FILES'file'是否为UPLOAD_ERR_OK，再校验扩展名、用move_uploaded_file安全落地，确保表单enctype和php.ini配置正确。

PHP 文件上传必须检查 $_FILES 结构和错误码

PHP 文件上传失败，90% 是因为没读 $_FILES['file']['error'] 就直接处理。这个数组不是“有值就代表成功”，它包含 name、tmp_name、size、type、error 五个键，其中 error 才是判断依据。常见错误码：0（成功），1（超 upload_max_filesize），2（超 HTML 表单 MAX_FILE_SIZE），4（未选择文件）。

实操建议：

立即学习“PHP免费学习笔记（深入）”；

AIBox 一站式AI创作平台

AIBox365一站式AI创作平台，支持ChatGPT、GPT4、Claue3、Gemini、Midjourney等国内外大模型

下载

• 永远先判断 if ($_FILES['file']['error'] === UPLOAD_ERR_OK)，而不是只看 !empty($_FILES['file']['tmp_name'])
• $_FILES['file']['tmp_name'] 是临时路径，仅本次请求有效，不复制或移动就失效
• 不要信任 $_FILES['file']['type']（浏览器提供，可伪造），校验 MIME 类型应使用 finfo_file() 或扩展名白名单

用 move_uploaded_file() 而不是 copy() 或 rename()

move_uploaded_file() 是 PHP 唯一安全的上传文件落地方式。它会检查源文件是否为合法上传临时文件（即是否在 $_FILES 中生成），防止 LFI 或路径遍历攻击。直接 copy($_FILES['file']['tmp_name'], $dest) 是严重安全隐患。

实操建议：

立即学习“PHP免费学习笔记（深入）”；

• 目标路径必须是绝对路径，建议用 __DIR__ . '/uploads/' . basename($safe_filename) 拼接
• 上传前确保上传目录存在且 Web 服务器用户（如 www-data）有写权限
• 避免用户可控的目录名或完整路径拼接，例如不要用 $_POST['dir'] 构造目标路径
• 若需重命名文件，用哈希+扩展名组合（如 md5_file($_FILES['file']['tmp_name']) . '.' . pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)），别直接用原名

表单和 php.ini 配置不匹配会导致静默失败

前端 <form enctype="multipart/form-data"> 缺失、max_file_size 隐藏域缺失、或后端 php.ini 的 file_uploads 关闭，都会让 $_FILES 为空，但不会报错——容易误判为“没提交”。

实操建议：

立即学习“PHP免费学习笔记（深入）”；

• HTML 表单必须带 enctype="multipart/form-data"，否则 $_FILES 永远为空
• 服务端可通过 ini_get('file_uploads') 和 ini_get('upload_max_filesize') 动态检查配置
• 大文件上传要同步调大 post_max_size（必须 ≥ upload_max_filesize），否则整个 POST 被截断，$_FILES 为空且 $_POST 也不全
• 开发时加一句 var_dump($_FILES, $_POST, ini_get('file_uploads')); 快速定位是前端漏配还是后端限制

简单可用的上传脚本示例（含基础校验）

以下是一个最小可行、带错误反馈的上传逻辑，不依赖框架，可直接测试：

<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_FILES['upload'])) {
    $file = $_FILES['upload'];
    
    if ($file['error'] !== UPLOAD_ERR_OK) {
        die('上传失败：错误码 ' . $file['error']);
    }
    
    $ext = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
    $allowed = ['jpg', 'jpeg', 'png', 'pdf'];
    if (!in_array($ext, $allowed)) {
        die('不支持的文件类型');
    }
    
    $target = __DIR__ . '/uploads/' . uniqid() . '.' . $ext;
    if (move_uploaded_file($file['tmp_name'], $target)) {
        echo '上传成功，保存为：' . htmlspecialchars(basename($target));
    } else {
        die('无法保存文件，请检查 uploads 目录权限');
    }
}
?>

<form method="POST" enctype="multipart/form-data">
    <input type="file" name="upload" required>
    <button type="submit">上传</button>
</form>

注意 uploads/ 目录需手动创建并设好权限；uniqid() 避免同名覆盖，但生产环境建议用更健壮的文件名生成策略；真正的安全校验还需加 MIME 类型检测和病毒扫描，但那是另一层的事了。