php实现文件上传下载

PHP 文件上传实现

文件上传需要使用 $_FILES 超全局变量处理上传的文件数据。确保 HTML 表单设置 enctype="multipart/form-data" 属性。

<form action="upload.php" method="post" enctype="multipart/form-data">
    <input type="file" name="fileToUpload">
    <input type="submit" value="Upload">
</form>

PHP 处理上传文件代码示例：

$targetDir = "uploads/";
$targetFile = $targetDir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;

// 检查文件是否已存在
if (file_exists($targetFile)) {
    echo "文件已存在";
    $uploadOk = 0;
}

// 限制文件大小（5MB）
if ($_FILES["fileToUpload"]["size"] > 5000000) {
    echo "文件过大";
    $uploadOk = 0;
}

// 允许特定文件类型
$allowedTypes = ["jpg", "png", "pdf"];
$fileType = strtolower(pathinfo($targetFile, PATHINFO_EXTENSION));
if (!in_array($fileType, $allowedTypes)) {
    echo "只允许 JPG, PNG, PDF 文件";
    $uploadOk = 0;
}

// 检查上传标志并移动文件
if ($uploadOk == 1) {
    if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $targetFile)) {
        echo "文件上传成功";
    } else {
        echo "上传失败";
    }
}

PHP 文件下载实现

文件下载可以通过设置适当的 HTTP 头实现强制下载而非在浏览器中打开。

$file = 'path/to/file.pdf';
if (file_exists($file)) {
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename="'.basename($file).'"');
    header('Expires: 0');
    header('Cache-Control: must-revalidate');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));
    readfile($file);
    exit;
} else {
    echo "文件不存在";
}

安全注意事项

验证文件类型不应仅依赖文件扩展名，应使用 finfo_file() 函数检测实际 MIME 类型：

$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES["fileToUpload"]["tmp_name"]);
finfo_close($finfo);

限制上传目录的执行权限，防止上传的恶意脚本被执行。建议将上传目录放在 web 根目录之外，或通过 .htaccess 禁止脚本执行：

<FilesMatch "\.(php|pl|py|jsp|asp|sh|cgi)$">
    Deny from all
</FilesMatch>