文章导读

使用 AJAX 上传文件时传递额外数据的方法

作者 2025年9月15日 10

本文档详细介绍了在使用 ajax 上传文件时，如何正确地将额外数据（如ID）传递到服务器端。重点讲解了 FormData 对象的使用，以及如何避免常见的错误配置，并提供代码示例。同时，本文也强调了服务器端代码安全性，特别是防止 sql 注入攻击的重要性，并给出了相关的安全建议和资源链接。

通过 FormData 对象传递数据

在使用 AJAX 上传文件时，经常需要同时传递一些额外的参数，例如 ID、描述等。FormData 对象是实现这一功能的关键。它提供了一种方便的方式来构造键值对，这些键值对表示表单字段及其值，然后可以使用 XMLHttpRequest 对象发送。

正确使用 FormData 对象

以下是一个使用 FormData 对象向服务器端传递文件和ID的示例：

前端代码 (JavaScript):

  var id = "<?php echo $id ?>"; // 从 PHP 获取 ID    var form_data = new FormData();   var files = $('#multiple_files')[0].files;    // 添加文件   for(var i = 0; i < files.length; i++){     form_data.append("files[]", files[i]); // 允许上传多个文件   }    // 添加 ID   form_data.append("id", id);    $.ajax({     url: "upload.php",     data: form_data,     method: "POST",     contentType: false,     cache: false,     processData: false,     beforeSend: function() {       $('#Error_multiple_files').html('<br /><label class="text-primary">Uploading...</label>');     },     success: function(data) {       $('#error_multiple_files').html('<br /><label class="text-success">Uploaded</label>');       load_image_data();     },     error: function(xhr, status, error) {         console.error("AJAX request failed:", status, error);         $('#error_multiple_files').html('<br /><label class="text-danger">Upload Failed: ' + error + '</label>');     }   });

关键点:

contentType: false 和 processData: false: 这两个选项对于使用 FormData 对象至关重要。contentType: false 告诉 jquery 不要设置 Content-Type 请求头，因为浏览器会自动设置正确的 Content-Type，包括 multipart/form-data。processData: false 告诉 jQuery 不要将 FormData 对象转换为字符串。
form_data.append(“id”, id): 使用 append() 方法将 ID 添加到 FormData 对象中。
form_data.append(“files[]”, files[i]): 使用 append() 方法将文件添加到 FormData 对象中。files[]允许上传多个文件，服务器端可以通过$_FILES[‘files’]来接收。
错误处理： 添加了 error 回调函数来处理 AJAX 请求失败的情况，方便调试。

错误的传递方式 (避免)

以下是一种常见的错误方式，应该避免：

// 错误示例 $.ajax({   url: "upload.php",   data: { id : id, form_data: form_data }, // 错误: 不应该将 FormData 嵌套在对象中   method: "POST",   contentType: false,   cache: false,   processData: false,   // ... });

这种方式会将 FormData 对象嵌套在一个普通的 JavaScript 对象中，导致 FormData 对象被转换为 [Object Object] 字符串，服务器端无法正确解析。

Shrink.media

Shrink.media是当今市场上最快、最直观、最智能的图像文件缩减工具

查看详情

服务端代码 (PHP)

upload.php:

<?php if ($_SERVER["REQUEST_METHOD"] == "POST") {     $id = $_POST['id'];      // 处理上传的文件     if (isset($_FILES['files'])) {         $files = $_FILES['files'];         $file_count = count($files['name']);          for ($i = 0; $i < $file_count; $i++) {             $file_name = $files['name'][$i];             $file_tmp = $files['tmp_name'][$i];             $file_error = $files['error'][$i];              if ($file_error === UPLOAD_ERR_OK) {                 $upload_dir = "uploads/"; // 存储上传文件的目录                 $upload_path = $upload_dir . basename($file_name);                  if (move_uploaded_file($file_tmp, $upload_path)) {                     // 文件上传成功，执行数据库操作                     // *** 重要：使用参数化查询防止 SQL 注入 ***                     $servername = "localhost";                     $username = "username";                     $password = "password";                     $dbname = "database_name";                      $conn = new mysqli($servername, $username, $password, $dbname);                      if ($conn->connect_error) {                         die("Connection failed: " . $conn->connect_error);                     }                      $sql = "INSERT INTO tbl_image (postid, image_name, image_description) VALUES (?, ?, '')";                     $stmt = $conn->prepare($sql);                     $stmt->bind_param("ss", $id, $file_name); // "ss" 表示两个字符串参数                      if ($stmt->execute() === TRUE) {                         echo "File uploaded and database record created successfully for " . $file_name . "<br>";                     } else {                         echo "Error: " . $sql . "<br>" . $conn->error;                     }                      $stmt->close();                     $conn->close();                  } else {                     echo "Error moving uploaded file " . $file_name . "<br>";                 }             } else {                 echo "Error uploading file " . $file_name . ": " . $file_error . "<br>";             }         }     } else {         echo "No files uploaded.<br>";     } } else {     echo "Invalid request method.<br>"; } ?>

关键点:

$_POST[‘id’]: 通过 $_POST 数组获取传递的 ID。
$_FILES[‘files’]: 通过 $_FILES 数组获取上传的文件信息。
参数化查询: 使用 mysqli_prepare() 和 mysqli_stmt_bind_param() 来创建参数化查询，防止 SQL 注入攻击。

安全注意事项：防止 SQL 注入

如答案中提到的，直接将未经过处理的数据插入到 SQL 查询中是非常危险的，这会导致 SQL 注入攻击。攻击者可以通过构造恶意的输入数据来篡改 SQL 查询，从而窃取、修改或删除数据库中的数据。

如何防止 SQL 注入:

使用参数化查询 (Prepared Statements): 这是防止 SQL 注入的最有效方法。参数化查询将 SQL 查询语句和数据分开处理。首先，将 SQL 查询语句发送到数据库服务器进行预编译，然后将数据作为参数传递给预编译的查询语句。这样可以确保数据不会被解释为 SQL 代码。PHP 提供了 mysqli 和 pdo 两种扩展来支持参数化查询。
输入验证和过滤: 在将数据插入到数据库之前，应该对数据进行验证和过滤，以确保数据符合预期的格式和类型。例如，可以使用正则表达式来验证电子邮件地址、电话号码等。
最小权限原则: 数据库用户应该只拥有执行其任务所需的最小权限。例如，如果一个用户只需要读取数据，则不应该授予其写入或删除数据的权限。

总结

本文详细介绍了如何使用 AJAX 和 FormData 对象上传文件并传递额外数据。重点强调了 FormData 对象的正确使用方式，以及服务器端代码的安全性，特别是防止 SQL 注入攻击的重要性。遵循这些最佳实践，可以确保文件上传过程的安全性和可靠性。

以上就是使用 AJAX 上传文件时传递额外数据的方法的详细内容，更多请关注mysql php javascript word java jquery html 前端 ajax 正则表达式浏览器 php JavaScript sql jquery ajax 正则表达式 Object Error mysqli pdo 回调函数字符串 append 对象数据库

大家都在看：

MySQL条件聚合：使用SUM与CASE语句实现字段的按条件求和 MySQL条件聚合：使用CASE语句实现字段的条件求和与计数 MySQL 条件求和：使用 CASE 语句实现精确数据汇总 MySQL条件聚合：根据特定状态计算字段总和 MySQL与PHP：高效判断指定时间是否落在数据库日期区间内

评论（已关闭）

评论已关闭

Hello! 欢迎来到悠悠畅享网！