下载需设 Content-Type: application/octet-stream 并配合 Content-Disposition: attachment;清空输出缓冲、检查文件可读、UTF-8 编码中文文件名;禁用 output_buffering,设置超时,校验路径防遍历。
header() 发送下载头时 Content-Type 必须设为 application/octet-stream
浏览器识别下载行为主要靠 Content-Type 和 Content-Disposition 两个响应头。如果 Content-Type 写成 text/plain 或留空,部分浏览器(尤其是 Chrome)会尝试内嵌显示,而不是弹出保存对话框。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
-
Content-Type: application/octet-stream是最稳妥的选择,表示“未知二进制数据”,强制触发下载 - 避免使用
application/download或application/x-download—— 这些不是标准 MIME 类型,IE 以外基本不认 - 若需保留原始扩展名关联(如 .pdf 点开用 Acrobat 打开),
Content-Type可设为对应类型(如application/pdf),但必须配合Content-Disposition: attachment,否则仍可能被浏览器渲染
readfile() 前必须清空输出缓冲并禁止后续输出
PHP 脚本里任何额外空格、echo、warning、notice 都会导致 header 发送失败,报错 “Cannot modify header information – headers already sent”。常见于文件末尾多了一个换行,或 include 的配置文件里有 BOM 或空行。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 开头加
ob_end_clean()或if (ob_get_level()) ob_end_flush();主动清理已有缓冲 - 下载逻辑后立即
exit;或die;,防止脚本继续执行输出无关内容 - 用
readfile($filepath)直接输出文件流,不要用file_get_contents()+echo,大文件会吃光内存 - 检查目标文件是否存在且可读:
if (!is_readable($filepath)) { http_response_code(404); exit; }
Content-Disposition 中的 filename 要做 UTF-8 兼容处理
中文文件名在 IE 和 Edge 上会乱码,在 Chrome/Firefox 上可能被截断或忽略。直接写 filename="报告.pdf" 不跨浏览器安全。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 优先用
filename*=UTF-8''{encoded}格式(RFC 5987),例如:filename*=UTF-8''%E6%8A%A5%E5%91%8A.pdf - 同时提供 ASCII fallback:
filename="report.pdf",兼容老浏览器 - 用
rawurlencode()编码文件名(不是urlencode()),并替换空格为 %20(rawurlencode()已处理) - 完整头示例:
header('Content-Disposition: attachment; filename="report.pdf"; filename*=UTF-8\'\''.rawurlencode($zh_filename));
大文件下载要禁用 output_buffering 并设置 max_execution_time
默认 PHP 的 output_buffering 和 max_execution_time 会中断大文件传输。比如一个 500MB 的日志文件,边读边发时可能卡在 30 秒超时,或因缓冲区满导致内存溢出。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 下载前加:
ini_set('output_buffering', 'Off'); ini_set('zlib.output_compression', 'Off'); - 延长执行时间:
set_time_limit(0);(注意:CLI 模式下无效,Web 服务器如 Nginx 还有自身的 timeout 限制) - 对超大文件(>1GB),考虑用
fpassthru()替代readfile(),配合fopen()流式控制更稳 - Nginx 用户需同步检查
send_timeout和client_max_body_size配置,否则上传没问题、下载中途断连
realpath() + strpos() 检查是否在允许目录内,就直接拼接用户传入的 $_GET['file'],等于敞开目录遍历漏洞。 
