首先启用php文件上传并配置大小限制,再创建带multipart/form-data的html表单,接着用$_FILES处理上传文件,验证类型与扩展名白名单,重命名文件防止冲突,最后设置安全的上传目录权限。
如果您需要在网站中允许用户提交图片、文档等文件,就需要实现文件上传功能。PHP 提供了处理文件上传的内置机制,但必须正确配置和验证以确保功能正常且安全。以下是实现该功能的具体步骤。
本文运行环境:Dell XPS 13,windows 11
一、启用并配置文件上传
PHP 默认支持文件上传,但需确认 php.ini 配置文件中的相关设置已开启。这些设置控制上传文件的大小、数量和存储位置。
1、打开 php.ini 配置文件,查找 file_uploads 指令,确保其值为 On。
立即学习“PHP免费学习笔记(深入)”;
2、设置 upload_max_filesize 的值,例如设为 8M,表示允许上传的最大文件为 8MB。
3、调整 post_max_size 的值,应大于或等于 upload_max_filesize,建议设为 10M。
4、重启 Web 服务器(如 apache 或 nginx)使配置生效。
二、创建 HTML 上传表单
前端表单必须使用 POST 方法,并设置 enctype 属性为 multipart/form-data,以便正确发送二进制文件数据。
1、编写 HTML 表单代码,包含文件输入字段和提交按钮。
2、确保 form 标签中 method 设置为 post,enctype 设置为 multipart/form-data。
3、input 元素的 type 设置为 file,name 属性设为用于 PHP 接收的变量名,如 userfile。
三、处理上传的 PHP 脚本
PHP 使用 $_FILES 超全局数组来接收上传文件的信息,包括文件名、类型、大小、临时路径和错误代码。需检查这些信息以确保上传成功。
1、创建名为 upload.php 的脚本文件,用于处理表单提交的数据。
2、检查 $_FILES[“userfile”][“Error”] 是否为 0,表示上传过程中没有发生错误。
3、获取文件的临时路径 $_FILES[“userfile”][“tmp_name”] 和目标保存路径。
4、使用 move_uploaded_file() 函数将文件从临时目录移动到指定目录。
四、限制文件类型与扩展名
为防止恶意文件上传,必须对文件类型进行白名单验证。仅允许特定扩展名的文件通过,避免执行危险脚本。
1、定义允许的扩展名数组,例如 .jpg、.png、.pdf、.docx。
2、使用 pathinfo() 函数提取上传文件的扩展名。
3、判断该扩展名是否存在于允许列表中,若不在则拒绝上传。
4、同时检查 MIME 类型是否匹配,使用 finfo_file() 获取真实文件类型并与预期对比。
五、重命名上传文件
直接使用用户提供的文件名可能导致安全问题或命名冲突。应生成唯一文件名以避免覆盖和路径注入攻击。
1、使用 uniqid() 或 time() 结合随机字符串生成新文件名。
2、保留原始文件的扩展名,将其附加到新名称后。
3、组合新文件名与上传目录路径,作为目标保存位置。
4、调用 move_uploaded_file() 时使用新路径完成存储。
六、设置上传目录权限
上传目录必须对 Web 服务器进程可写,但不应具有执行权限,以防上传的脚本被运行。
1、选择一个非 Web 根目录下的文件夹作为上传存储路径,例如 /var/uploads。
2、使用 chmod 命令设置目录权限为 755 或 775,确保 Web 用户可写。
3、禁止该目录内执行 PHP 脚本,可在服务器配置中添加 deny rule 或禁用 exec 权限。
4、通过 .htaccess 文件阻止直接访问上传内容(适用于 Apache)。