PHP文件上传教程：$_FILES参数详解

PHP文件上传看似简单，实则暗藏多重陷阱：$_FILES并非直接存储文件内容，而是包含name、tmp_name、error等五项关键信息的多维数组，必须严格检查error为0、操作唯一的tmp_name临时路径，并确保表单enctype="multipart/form-data"；move_uploaded_file()要求目标为绝对路径、目录可写且不可重复调用；多文件上传时$_FILES结构“拉平”，需按索引遍历而非直接foreach；更关键的是，浏览器提交的type和name完全不可信，必须通过finfo等服务端手段校验真实MIME类型、重命名文件并禁用上传目录执行权限——任一环节疏忽，轻则上传失败，重则引发安全漏洞。

$_FILES 数组结构不理解，文件根本没进来

PHP 接收上传文件靠 $_FILES，但它不是直接存文件内容，而是一个多维数组，每个上传字段对应一个子数组，含 name、tmp_name、error、size、type 五个键。常见错误是直接读 $_FILES['file']['name'] 就以为文件已就位——其实它只是客户端传来的原始文件名，真正要操作的是 tmp_name 指向的临时路径。

• error 必须为 0 才表示上传成功；值为 4 表示没选文件，1 或 2 是大小超限（upload_max_filesize 或 MAX_FILE_SIZE 导致）
• tmp_name 是唯一可用来 move_uploaded_file() 的路径，不能用 file_get_contents($_FILES['f']['tmp_name']) 后再写文件——临时文件可能在脚本结束时被删
• 表单 <input type="file"> 必须带 name="xxx"，且
  的 enctype 必须是 "multipart/form-data"，缺一不可

move_uploaded_file() 失败但没报错

这个函数返回 false 时不抛异常，只静默失败。最常踩的坑是目标目录不存在、无写权限、或 tmp_name 已失效（比如重复调用 move_uploaded_file() 第二次必挂）。

• 目标路径必须是**绝对路径**，相对路径容易因工作目录变化出问题；建议用 __DIR__ . '/uploads/' . $filename
• 确保上传目录存在且 PHP 进程有写权限（如 Nginx 下通常是 www-data 用户，非 root）
• 别对同一个 tmp_name 多次调用 move_uploaded_file()——它会把临时文件移走，第二次调用时源文件已不存在
• Windows 下注意路径分隔符，move_uploaded_file() 不接受反斜杠拼接的路径字符串

处理多个文件上传时 $_FILES 结构变形

当表单用 <input type="file" name="photos[]" multiple> 传多个文件时，$_FILES 不再是“每个字段一层”，而是按字段名维度拉平：所有 name 归到一个数组，所有 tmp_name 归到另一个……这和普通 POST 数组完全不同，直接 foreach ($_FILES['photos'] as $file) 会遍历键名而非文件项。

• 正确做法是先用 count($_FILES['photos']['name']) 得到文件数，再用 for ($i = 0; $i 按索引取每个 $_FILES['photos']['name'][$i]、$_FILES['photos']['tmp_name'][$i] 等
• 如果用 foreach，必须配合 array_keys($_FILES['photos']['name']) 或改用 array_map() 合并字段
• 注意 error 数组里每个值都要单独检查，一个失败不影响其他，但得自己判断是否要中断整个流程

安全校验只看 type 字段等于白防

$_FILES['f']['type'] 是浏览器传来的 MIME 类型，完全不可信。用户改个后缀或伪造请求就能绕过。真要校验类型，必须用服务端解析（如 finfo_open()）或扩展名白名单 + 文件头检测。

• 不要用 pathinfo($name, PATHINFO_EXTENSION) 后简单比对，攻击者可传 shell.php.jpg 再重命名
• 用 finfo_file(finfo_open(FILEINFO_MIME_TYPE), $tmp_name) 获取真实 MIME，再与白名单比对（如 'image/jpeg'）
• 生成新文件名时彻底丢弃客户端 name，用 uniqid() . '.' . $ext，且 $ext 必须来自服务端识别结果
• 上传目录务必禁止执行权限，Apache/Nginx 配置里加 deny all 或关闭 php_flag engine off

上传逻辑看着简单，但 $_FILES 的结构陷阱、临时文件生命周期、多文件索引方式、MIME 校验盲区——这几处错一点，轻则功能失效，重则文件覆盖或代码执行。尤其别信 type 和 name，它们连门卫都不算，只是门口递名片的人。

本篇关于《PHP文件上传教程：$_FILES参数详解》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！