filesize()获取字节数后需转为整型与字节阈值比较,上传文件优先用$_FILES['xxx']['size'],注意检查$_FILES'xxx'状态,大文件超2GB时在32位系统需用stream_stat()兜底。
用 filesize() 获取字节数再做范围判断
PHP 判断文件大小范围,核心是先拿到准确字节数,再和目标阈值比较。直接调用 filesize() 是最常用方式,但它返回的是整型字节数,不是带单位的字符串——别被文件管理器里显示的 “2.4 MB” 迷惑,PHP 不自动换算。
常见错误:直接拿 filesize($path) > '5MB' 这种写法会出错,因为右边是字符串,PHP 会尝试类型转换(可能转成 0),结果永远为真或假得离谱。
-
filesize()返回false表示失败(如文件不存在、无读取权限、路径是目录),必须提前检查 - 阈值建议统一转为字节比较:5MB =
5 * 1024 * 1024,而不是依赖ini_get('upload_max_filesize')的字符串格式 - 如果文件大于 2GB,在 32 位系统上
filesize()可能返回负数或截断,需用stream_stat()+stat()中的size字段兜底(但多数现代环境已无此问题)
处理上传文件时优先用 $_FILES['xxx']['size']
如果是表单上传的文件,不要再去 filesize($_FILES['xxx']['tmp_name']) ——这多一次 I/O,还可能因临时文件被清理而失败。PHP 在接收上传时已把大小存进 $_FILES 数组,$_FILES['xxx']['size'] 就是客户端实际上传的字节数,可靠且高效。
注意:$_FILES['xxx']['size'] 是整数,上传失败(如超 post_max_size)时它可能是 0,但更关键的是要结合 $_FILES['xxx']['error'] 判断原因:
立即学习“PHP免费学习笔记(深入)”;
-
UPLOAD_ERR_OK (0):上传成功,size有效 -
UPLOAD_ERR_INI_SIZE (1)或UPLOAD_ERR_FORM_SIZE (2):说明已超 PHP 或表单限制,此时size不可信,应直接拒绝 -
UPLOAD_ERR_NO_FILE (4):没选文件,size为 0,属正常情况,不是错误
按人类可读单位做范围提示时,自己写换算逻辑
前端显示 “文件不能超过 10MB” 没问题,但后端验证仍必须用字节。如果需要把字节数转成带单位的字符串用于日志或提示(比如 “上传了 3.24 MB 的文件”),别依赖第三方库或魔改 number_format(),手写一个简单换算即可:
function formatBytes($bytes, $decimals = 2) {
$units = ['B', 'KB', 'MB', 'GB'];
for ($i = 0; $bytes >= 1024 && $i < count($units) - 1; $i++) {
$bytes /= 1024;
}
return number_format($bytes, $decimals) . ' ' . $units[$i];
}这个函数不处理负数或非数字输入,也不适配二进制单位(MiB),够用就行。重点是:显示用它,判断别用它——formatBytes(10485760) === '10.00 MB',但你不能拿这个字符串去和 '10 MB' 比大小。
大文件场景下避免阻塞,用流式或分块校验
当业务允许上传几百 MB 甚至 GB 级文件时,光靠 filesize() 或 $_FILES['size'] 不够——它们只告诉你“总大小”,但无法防止用户上传一个合法大小却内容违规的文件(比如 500MB 的加密垃圾数据)。这时真正的“范围判断”要延伸到内容层面:
- 若只需确认是否为空,用
fstat(fopen($path, 'rb'))['size'] === 0比filesize()略快(跳过部分检查) - 若需快速排除明显超限文件,可在上传中途用
$_SERVER['CONTENT_LENGTH']做初筛(注意:仅适用于multipart/form-data且未被代理篡改的情况) - 真正健壮的做法是配合前端分片上传,服务端对每片校验大小+哈希,最后合并时再统算总大小——但这已超出单纯“判断大小范围”的范畴
最易被忽略的一点:upload_max_filesize 和 post_max_size 是 PHP INI 配置,它们限制的是接收阶段,不影响你用 filesize() 去读一个早已存在的大文件。别把运行时判断和配置限制混为一谈。
