php实现文件上传
文件上传的基本实现
在PHP中实现文件上传需要使用$_FILES超全局数组处理上传的文件数据。表单必须设置enctype="multipart/form-data"属性,并采用POST方法提交。
创建包含文件上传字段的HTML表单:
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="fileToUpload">
<input type="submit" value="Upload File">
</form>处理上传的PHP脚本(upload.php):
$targetDir = "uploads/";
$targetFile = $targetDir . basename($_FILES["fileToUpload"]["name"]);
if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $targetFile)) {
echo "文件已成功上传";
} else {
echo "文件上传失败";
}安全验证措施
验证文件类型通过检查MIME类型和文件扩展名:
$allowedTypes = ['image/jpeg', 'image/png'];
$fileType = $_FILES["fileToUpload"]["type"];
if (!in_array($fileType, $allowedTypes)) {
die("不允许的文件类型");
}限制文件大小:
$maxSize = 2 * 1024 * 1024; // 2MB
if ($_FILES["fileToUpload"]["size"] > $maxSize) {
die("文件大小超过限制");
}生成唯一文件名防止覆盖:
$extension = pathinfo($_FILES["fileToUpload"]["name"], PATHINFO_EXTENSION);
$newFileName = uniqid() . '.' . $extension;
$targetFile = $targetDir . $newFileName;多文件上传处理
HTML表单设置多个文件字段:
<input type="file" name="filesToUpload[]" multiple>PHP处理多个文件:
foreach ($_FILES["filesToUpload"]["tmp_name"] as $key => $tmpName) {
$targetFile = $targetDir . basename($_FILES["filesToUpload"]["name"][$key]);
move_uploaded_file($tmpName, $targetFile);
}错误处理机制
检查上传过程中的各种错误:
if ($_FILES["fileToUpload"]["error"] !== UPLOAD_ERR_OK) {
switch ($_FILES["fileToUpload"]["error"]) {
case UPLOAD_ERR_INI_SIZE:
die("文件超过服务器限制");
case UPLOAD_ERR_FORM_SIZE:
die("文件超过表单限制");
// 其他错误处理...
}
}文件上传最佳实践
确保上传目录存在并设置正确权限:
if (!file_exists($targetDir)) {
mkdir($targetDir, 0755, true);
}禁用危险文件执行:
$deniedExtensions = ['php', 'exe', 'sh'];
if (in_array($extension, $deniedExtensions)) {
die("危险文件类型禁止上传");
}使用更安全的文件类型检测方法:
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES["fileToUpload"]["tmp_name"]);
finfo_close($finfo);
