PHP文件上传必须设置enctype="multipart/form-data",否则$_FILES为空;其数组含name、type、tmp_name、error、size五键,error为0才成功;须用move_uploaded_file()移动文件并校验;还需匹配php.ini中upload_max_filesize、post_max_size和max_file_uploads配置。
PHP 表单中 enctype="multipart/form-data"
不加这个属性,$_FILES 数组永远为空,哪怕表单提交了文件、浏览器也显示了选中路径。这是最常被忽略的硬性前提。
正确写法示例:
-
enctype只在method="post"时生效,GET不支持文件上传 - 如果用框架(如 Laravel、Symfony),表单构建器通常自动处理,但手写 HTML 时务必手动加上
- 多个文件字段共存时,一个
enctype="multipart/form-data"覆盖整个表单即可
$_FILES 数组结构与常见错误现象
PHP 将上传文件信息组织为 $_FILES['字段名'],它不是单个值,而是一个含 5 个键的关联数组:name、type、tmp_name、error、size。直接 var_dump($_FILES) 是调试第一步。
-
error === 0才代表上传成功;error === 4表示用户没选文件(常见于必填校验遗漏) -
tmp_name是临时路径,只在本次请求生命周期有效,必须用move_uploaded_file()移走,不能用copy()或rename() -
type字段由浏览器提供,不可信(可伪造),不要用它做安全判断 - 多文件上传(如
name="photos[]")会生成二维数组,需遍历处理
用 move_uploaded_file() 安全移动文件的要点
这是唯一推荐的文件落地方式,它会检查 tmp_name 是否真来自上传,并阻止跨目录攻击。
立即学习“PHP免费学习笔记(深入)”;
- 目标路径必须是绝对路径,建议用
__DIR__ . '/uploads/' . $filename拼接 - 务必先校验
$_FILES['xxx']['error'] === 0,再调用该函数,否则会警告 - 生成唯一文件名(如
uniqid() . '_' . basename($_FILES['file']['name'])),避免覆盖或注入 - 上传目录不能在 Web 可访问路径下,或至少加
.htaccess(Apache)/location规则(Nginx)禁止执行 PHP
上传限制:php.ini 关键配置与运行时检查
即使代码逻辑完美,也会因服务器配置失败。三个核心配置项必须匹配业务需求:
-
upload_max_filesize(如2M):单个文件上限,单位不支持MB,只能是M或K -
post_max_size:必须 ≥upload_max_filesize,否则整个 POST 被截断,$_FILES为空且无报错 -
max_file_uploads:单次请求最多允许几个文件字段,默认 20,上传数组超长会被静默截断
运行时可用 ini_get('upload_max_filesize') 获取当前值,结合 $_FILES['x']['size'] 做前端不可靠、后端必须的二次校验。
临时目录(upload_tmp_dir)磁盘空间不足或权限不对,也会导致 error === 6 或 7,这类问题容易被当成代码 bug。
