欢迎来到雄杰鑫电商资讯网
技术教程

php文件怎么上传_处理多文件上传的完整流程与验证【详解】

星夢妙者 次阅读
PHP多文件上传时$_FILES结构是二维关联数组,需按索引重组为单文件列表,并逐个验证is_uploaded_file、扩展名白名单、图片真实性、大小及重命名安全性。

PHP 多文件上传的 $_FILES 结构必须先看懂

PHP 不会自动把多个同名 的文件合并成一个数组——它生成的是一个**二维关联数组**,结构固定。如果没意识到这点,foreach($_FILES['files'] as $file) 会直接遍历字段名(nametmp_name 等),而不是单个文件,这是最常踩的坑。

正确结构示例(3 个文件):

$_FILES['files'] = [
    'name'     => ['a.jpg', 'b.pdf', 'c.txt'],
    'tmp_name' => ['/tmp/phpabc123', '/tmp/phpdef456', '/tmp/phpghi789'],
    'size'     => [10240, 204800, 512],
    'error'    => [0, 0, 0],
    'type'     => ['image/jpeg', 'application/pdf', 'text/plain']
];

所以要按索引重组为文件列表:

$files = [];
for ($i = 0; $i < count($_FILES['files']['name']); $i++) {
    if ($_FILES['files']['error'][$i] === UPLOAD_ERR_OK) {
        $files[] = [
            'name'     => $_FILES['files']['name'][$i],
            'tmp_name' => $_FILES['files']['tmp_name'][$i],
            'size'     => $_FILES['files']['size'][$i],
            'type'     => $_FILES['files']['type'][$i],
            'error'    => $_FILES['files']['error'][$i]
        ];
    }
}

move_uploaded_file() 移动前必须逐个验证

不能只检查 error === 0 就直接移动——攻击者可伪造 $_FILES 或绕过前端限制。每个文件都需独立验证:

  • is_uploaded_file($file['tmp_name']) 必须为 true(防止本地文件路径伪造)
  • pathinfo($file['name'], PATHINFO_EXTENSION) 提取扩展名,再比对白名单(不要信任 $file['type'],它由浏览器发送,完全不可信)
  • getimagesize($file['tmp_name']) 验证图片真实性(仅对图片类型)
  • 检查 $file['size'] 是否超过业务允许上限(如 5MB),注意还要和 upload_max_filesizepost_max_size 配置对齐

前端
和 PHP 配置容易漏掉的关键项

多文件上传失败,80% 出在配置没调对,不是代码问题:

  • HTML 表单必须带 enctype="multipart/form-data",缺了就根本不会传文件
  • PHP 的 max_file_uploads 默认是 20,如果一次传 30 个,后 10 个会被静默丢弃($_FILES 里根本不会出现)
  • post_max_size 要 ≥ 所有文件总大小 + 其他表单字段开销,否则整个请求被截断,$_FILES 为空
  • Apache 的 LimitRequestBody 或 Nginx 的 client_max_body_size 也得同步放开

建议在上传前加服务端兜底检测:

if (ini_get('max_file_uploads') < count($_FILES['files']['name'])) {
    die('超出服务器允许的最大上传数');
}

重命名文件时别用原始 $_FILES['name'] 直接拼路径

原始文件名可能含 ../、空字节、控制字符或超长路径,直接拼接会导致目录穿越或写入失败。安全做法:

  • basename() 去掉路径部分
  • 用正则过滤掉非字母数字、下划线、短横线(/[^a-zA-Z0-9_\-.]/
  • 强制添加唯一前缀(如 uniqid() . '_' . $safe_name
  • 目标目录必须是绝对路径,且 PHP 进程有写权限;不要用 ./uploads/ 这类相对路径

错误示范:$dest = 'uploads/' . $_FILES['files']['name'][$i];
正确示范:

$ext = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
$safe_name = preg_replace('/[^a-zA-Z0-9_\-.]/', '', basename($file['name']));
$new_name = uniqid('up_') . '.' . ($ext ?: 'bin');
$dest = '/var/www/uploads/' . $new_name;

上传完成后记得 chmod 644 $dest(如果需要 Web 可读但不可执行)。

ai 前端 这是 浏览器 文件上传 html 的是 多个 上传 app 扩展名 pdf php nginx 表单 Error input 字节 apache 文件列表 foreach 遍历 重命名 关联数组

相关文章

按ESC键退出。