PHP文件上传路径拼接与安全配置

PHP上传文件时，保存相对路径并拼接服务器根目录是常见操作，但需注意路径处理和安全问题。核心在于正确组合路径、避免恶意上传，并确保文件可被安全访问。

1. 获取服务器根目录并拼接相对路径

使用 $_SERVER['DOCUMENT_ROOT'] 可获取Web服务器的根目录（如 /var/www/html），再与自定义相对路径拼接，形成完整存储路径。

例如，将文件保存到项目下的 uploads/ 目录：

$uploadDir = 'uploads/';<br>$absolutePath = $_SERVER['DOCUMENT_ROOT'] . '/' . $uploadDir;

确保目录存在且有写权限：

if (!is_dir($absolutePath)) {<br>    mkdir($absolutePath, 0755, true);<br>}

2. 处理上传文件并保存相对路径

通过 $_FILES 接收上传文件，验证后移动到目标位置，并保存相对路径用于数据库记录。

示例代码：

if ($_FILES['file']['error'] === UPLOAD_ERR_OK) {<br>    $tmpName = $_FILES['file']['tmp_name'];<br>    $fileName = basename($_FILES['file']['name']); // 防止路径注入<br>    $destination = $absolutePath . $fileName;<br><br>    if (move_uploaded_file($tmpName, $destination)) {<br>        $relativePath = $uploadDir . $fileName; // 保存此路径到数据库<br>        echo "文件已保存至: " . $relativePath;<br>    }<br>}

3. 安全注意事项

直接使用用户上传的文件名存在风险，必须进行过滤和校验：

• 重命名文件：使用唯一名称（如 uniqid() 或哈希）防止覆盖和执行恶意脚本。
• 限制扩展名：只允许安全类型（如 jpg、png、pdf）。
• 检查MIME类型：用 finfo_file() 验证真实文件类型。
• 避免执行权限：上传目录禁止执行PHP脚本，可通过配置Web服务器实现。
• 防止路径遍历：使用 basename() 提取文件名，避免 ../../ 类型攻击。

4. 路径拼接建议

拼接路径时统一使用斜杠，避免因系统差异出错。可用：

$uploadDir = 'uploads/';<br>$absolutePath = rtrim($_SERVER['DOCUMENT_ROOT'], '/') . '/' . ltrim($uploadDir, '/');

这样可防止重复或缺失斜杠导致路径错误。

基本上就这些。关键是控制文件来源、规范路径处理、强化权限管理，才能安全实现文件上传与存储。