$_FILES 是多维数组,含 name、tmp_name、error、size、type 五键;error 为 0 才成功,操作需用 tmp_name 路径;form 必须 enctype="multipart/form-data";move_uploaded_file() 目标须绝对路径且目录可写;多文件上传时 $_FILES 结构拉平,需按索引遍历。
$_FILES 数组结构不理解,文件根本没进来
PHP 接收上传文件靠 $_FILES,但它不是直接存文件内容,而是一个多维数组,每个上传字段对应一个子数组,含 name、tmp_name、error、size、type 五个键。常见错误是直接读 $_FILES['file']['name'] 就以为文件已就位——其实它只是客户端传来的原始文件名,真正要操作的是 tmp_name 指向的临时路径。
-
error必须为0才表示上传成功;值为4表示没选文件,1或2是大小超限(upload_max_filesize或MAX_FILE_SIZE导致) -
tmp_name是唯一可用来move_uploaded_file()的路径,不能用file_get_contents($_FILES['f']['tmp_name'])后再写文件——临时文件可能在脚本结束时被删 - 表单
<input type="file">必须带name="xxx",且<form>的enctype必须是"multipart/form-data",缺一不可
move_uploaded_file() 失败但没报错
这个函数返回 false 时不抛异常,只静默失败。最常踩的坑是目标目录不存在、无写权限、或 tmp_name 已失效(比如重复调用 move_uploaded_file() 第二次必挂)。
- 目标路径必须是**绝对路径**,相对路径容易因工作目录变化出问题;建议用
__DIR__ . '/uploads/' . $filename - 确保上传目录存在且 PHP 进程有写权限(如 Nginx 下通常是
www-data用户,非root) - 别对同一个
tmp_name多次调用move_uploaded_file()——它会把临时文件移走,第二次调用时源文件已不存在 - Windows 下注意路径分隔符,
move_uploaded_file()不接受反斜杠拼接的路径字符串
处理多个文件上传时 $_FILES 结构变形
当表单用 <input type="file" name="photos[]" multiple> 传多个文件时,$_FILES 不再是“每个字段一层”,而是按字段名维度拉平:所有 name 归到一个数组,所有 tmp_name 归到另一个……这和普通 POST 数组完全不同,直接 foreach ($_FILES['photos'] as $file) 会遍历键名而非文件项。
- 正确做法是先用
count($_FILES['photos']['name'])得到文件数,再用for ($i = 0; $i 按索引取每个 <code>$_FILES['photos']['name'][$i]、$_FILES['photos']['tmp_name'][$i]等 - 如果用
foreach,必须配合array_keys($_FILES['photos']['name'])或改用array_map()合并字段 - 注意
error数组里每个值都要单独检查,一个失败不影响其他,但得自己判断是否要中断整个流程
安全校验只看 type 字段等于白防
$_FILES['f']['type'] 是浏览器传来的 MIME 类型,完全不可信。用户改个后缀或伪造请求就能绕过。真要校验类型,必须用服务端解析(如 finfo_open())或扩展名白名单 + 文件头检测。
立即学习“PHP免费学习笔记(深入)”;
- 不要用
pathinfo($name, PATHINFO_EXTENSION)后简单比对,攻击者可传shell.php.jpg再重命名 - 用
finfo_file(finfo_open(FILEINFO_MIME_TYPE), $tmp_name)获取真实 MIME,再与白名单比对(如'image/jpeg') - 生成新文件名时彻底丢弃客户端
name,用uniqid() . '.' . $ext,且$ext必须来自服务端识别结果 - 上传目录务必禁止执行权限,Apache/Nginx 配置里加
deny all或关闭php_flag engine off
上传逻辑看着简单,但 $_FILES 的结构陷阱、临时文件生命周期、多文件索引方式、MIME 校验盲区——这几处错一点,轻则功能失效,重则文件覆盖或代码执行。尤其别信 type 和 name,它们连门卫都不算,只是门口递名片的人。
