ziparchive 是 php 压缩文件的唯一可靠选择,gzencode 等不支持多文件打包和目录结构;需注意权限、路径校验、密码解压不可靠及大文件内存控制。
用 ZipArchive 压缩文件最稳,别碰 gzencode 或 zlib 手动打包
PHP 原生压缩文件,ZipArchive 是唯一靠谱选择。它直接生成标准 ZIP 包,兼容 Windows/macOS/Linux 解压工具;而 gzencode 只输出 gzip 流(类似单个 .gz 文件),不能打包多个文件或保留目录结构,新手常误以为“压缩了”结果双击打不开。
常见错误现象:ZipArchive::open() 返回 ZIPARCHIVE::ER_OPEN(权限不足)、ZIPARCHIVE::ER_NOZIP(路径写错或文件被占用)、addFile() 后解压为空(没调用 close())。
-
ZipArchive必须先open(),再addFile()或addFromString(),最后close()—— 少一步就白干 - 添加文件时,第二个参数是压缩包内路径,比如
$zip->addFile('/tmp/log.txt', 'logs/app.log'),不是磁盘路径 - 目标 ZIP 文件所在目录必须有写权限,且 PHP 进程能创建该文件(如
/var/www/html/backup.zip要确保/var/www/html/可写)
解压 ZIP 时路径穿越漏洞必须手动过滤
直接用 $zip->extractTo() 解压不可信来源的 ZIP 包,攻击者可通过构造 ../../../etc/passwd 类路径把文件写到任意位置——这是真实发生过的高危漏洞。
正确做法是:遍历 $zip->getNameIndex($i) 获取每个文件名,用 realpath() + strpos() 校验是否落在目标目录内。
立即学习“PHP免费学习笔记(深入)”;
- 不要信任
basename(),它不处理../;要用pathinfo($name, PATHINFO_FILENAME)配合dirname()拆解后逐段判断 - 推荐用
str_starts_with($realPath, $allowedBase)(PHP 8.0+)或0 === strpos($realPath, $allowedBase)(兼容旧版) - 遇到含
..、空字节\0、Windows 驱动器前缀(如C:\)的文件名,直接跳过或报错
ZipArchive 不支持密码解压,别试 setPassword()
ZipArchive 的 setPassword() 方法仅在极少数编译版本中可用,且只对部分 ZIP 加密方式(传统 ZipCrypto)有效,AES 加密完全不支持。生产环境一用就失败,还容易掩盖真正问题。
如果必须处理带密码的 ZIP,老实用命令行:unzip -P '123' archive.zip -d /tmp/output,配合 exec() 或 proc_open(),并严格过滤密码变量(防 shell 注入)。
- PHP 自身无安全可靠的 ZIP 密码解压能力,文档里没写清楚,但实际就是不能用
- 调用系统
unzip前,用escapeshellarg()包裹所有用户输入,包括密码和文件名 - 注意
unzip返回码:非 0 表示失败(密码错、格式损坏、磁盘满等),不能只看输出
大文件压缩要控制内存,别让 addFile() 把 PHP 进程撑爆
addFile() 默认把整个文件读进内存再写入 ZIP 流,压缩一个 500MB 日志文件可能吃掉 1GB 内存,触发 OOM 或超时。这不是 bug,是设计如此。
解决方案只有两个:分块压缩(适合已知小文件集合),或改用流式外部命令(适合单大文件)。
- 对大量小文件,用
addFromString($name, file_get_contents($path))并加unset()释放内容,比addFile()略省内存 - 对单个大文件,用
exec('zip -j ' . escapeshellarg($zipPath) . ' ' . escapeshellarg($filePath)),让系统 zip 工具处理 - PHP 8.1+ 可尝试
ZipArchive::CREATE | ZipArchive::OVERWRITE配合open()的第三个参数设为 0(禁用内存缓存),但效果有限,别依赖
路径穿越、密码支持、内存爆炸——这三个点,只要漏掉一个,上线后准出事。尤其解压那段校验逻辑,写一次容易,漏一次就是服务器沦陷。
