PHP上传文件的完整方法解析

$_FILES数组结构和常用键名含义

$_FILES 是二维数组，每个上传字段对应一个一维子数组，含五个固定键：name（客户端原始文件名）、type（浏览器提交的 MIME 类型，不可信）、tmp_name（服务端临时路径，仅本次请求有效）、error（错误码，0 表示成功）、size（字节数）。关键点：

• tmp_name 必须非空且存在，才能用 move_uploaded_file()
• error 值为 UPLOAD_ERR_OK（即 0）才表示上传无误；其他值如 UPLOAD_ERR_INI_SIZE（1）说明超出了 upload_max_filesize
• name 可能含路径（如 ../evil.php），务必过滤或重命名，不能直接拼进文件系统路径

安全移动上传文件的正确写法

别用 copy() 或 file_put_contents() 直接处理 $_FILES['xxx']['tmp_name']，那会绕过 PHP 的上传校验机制。必须用 move_uploaded_file()，它会验证该文件确为本次上传生成的临时文件。

if ($_FILES['avatar']['error'] === UPLOAD_ERR_OK) {
    $tmp = $_FILES['avatar']['tmp_name'];
    $ext = pathinfo($_FILES['avatar']['name'], PATHINFO_EXTENSION);
    $ext = strtolower($ext);
    if (in_array($ext, ['jpg', 'jpeg', 'png', 'gif'])) {
        $dst = '/var/www/uploads/' . uniqid() . '.' . $ext;
        if (move_uploaded_file($tmp, $dst)) {
            echo "上传成功：$dst";
        }
    }
}

调试上传失败时优先查这三处配置

很多“收不到文件”问题其实和代码无关，而是服务器层拦截了。打开 phpinfo() 或运行 ini_get('upload_max_filesize') 确认实际生效值：

• file_uploads 必须为 On
• upload_max_filesize 和 post_max_size 都要大于待传文件体积（注意后者需 ≥ 前者 + 表单其他字段总长）
• max_execution_time 和 max_input_time 过短会导致大文件上传中途超时，error 可能为 UPLOAD_ERR_EXTENSION（值为 8），但实际是超时而非扩展问题

临时文件目录（upload_tmp_dir）权限不对也会导致 move_uploaded_file() 失败，错误表现为 tmp_name 为空或 move_uploaded_file(): Unable to move。

好了，本文到此结束，带大家了解了《PHP上传文件的完整方法解析》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！