首页 > 文章 > php教程

PHP文件上传代码示例详解

时间：2026-05-23 11:46:30 481浏览收藏

本文深入解析PHP文件上传的核心要点与常见陷阱，强调必须优先检查$_FILES['file']['error']是否为UPLOAD_ERR_OK而非依赖临时路径存在与否，揭露90%上传失败源于忽略错误码判断；详解move_uploaded_file()不可替代的安全性，警示copy()或rename()直接操作tmp_name带来的LFI与路径遍历风险；同时厘清表单enctype、MAX_FILE_SIZE隐藏域与php.ini中file_uploads、upload_max_filesize、post_max_size等配置的协同关系，避免静默失败；辅以简洁可运行的示例代码和生产级实操建议（如绝对路径拼接、权限控制、哈希重命名、扩展名白名单校验），助开发者构建既健壮又安全的文件上传功能。

php代码示例如何实现文件上传_php文件上传代码示例【示例】

PHP 文件上传必须检查 `$_FILES` 结构和错误码

PHP 文件上传失败，90% 是因为没读 $_FILES['file']['error'] 就直接处理。这个数组不是“有值就代表成功”，它包含 name、tmp_name、size、type、error 五个键，其中 error 才是判断依据。常见错误码：0（成功），1（超 upload_max_filesize），2（超 HTML 表单 MAX_FILE_SIZE），4（未选择文件）。

实操建议：

永远先判断 if ($_FILES['file']['error'] === UPLOAD_ERR_OK)，而不是只看 !empty($_FILES['file']['tmp_name'])
$_FILES['file']['tmp_name'] 是临时路径，仅本次请求有效，不复制或移动就失效
不要信任 $_FILES['file']['type']（浏览器提供，可伪造），校验 MIME 类型应使用 finfo_file() 或扩展名白名单

用 `move_uploaded_file()` 而不是 `copy()` 或 `rename()`

move_uploaded_file() 是 PHP 唯一安全的上传文件落地方式。它会检查源文件是否为合法上传临时文件（即是否在 $_FILES 中生成），防止 LFI 或路径遍历攻击。直接 copy($_FILES['file']['tmp_name'], $dest) 是严重安全隐患。

实操建议：

目标路径必须是绝对路径，建议用 __DIR__ . '/uploads/' . basename($safe_filename) 拼接
上传前确保上传目录存在且 Web 服务器用户（如 www-data）有写权限
避免用户可控的目录名或完整路径拼接，例如不要用 $_POST['dir'] 构造目标路径
若需重命名文件，用哈希+扩展名组合（如 md5_file($_FILES['file']['tmp_name']) . '.' . pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)），别直接用原名

表单和 php.ini 配置不匹配会导致静默失败

前端

缺失、max_file_size 隐藏域缺失、或后端 php.ini 的 file_uploads 关闭，都会让 $_FILES 为空，但不会报错——容易误判为“没提交”。

实操建议：

HTML 表单必须带 enctype="multipart/form-data"，否则 $_FILES 永远为空
服务端可通过 ini_get('file_uploads') 和 ini_get('upload_max_filesize') 动态检查配置
大文件上传要同步调大 post_max_size（必须 ≥ upload_max_filesize），否则整个 POST 被截断，$_FILES 为空且 $_POST 也不全
开发时加一句 var_dump($_FILES, $_POST, ini_get('file_uploads')); 快速定位是前端漏配还是后端限制

简单可用的上传脚本示例（含基础校验）

以下是一个最小可行、带错误反馈的上传逻辑，不依赖框架，可直接测试：

<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_FILES['upload'])) {
    $file = $_FILES['upload'];
    
    if ($file['error'] !== UPLOAD_ERR_OK) {
        die('上传失败：错误码 ' . $file['error']);
    }
    
    $ext = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
    $allowed = ['jpg', 'jpeg', 'png', 'pdf'];
    if (!in_array($ext, $allowed)) {
        die('不支持的文件类型');
    }
    
    $target = __DIR__ . '/uploads/' . uniqid() . '.' . $ext;
    if (move_uploaded_file($file['tmp_name'], $target)) {
        echo '上传成功，保存为：' . htmlspecialchars(basename($target));
    } else {
        die('无法保存文件，请检查 uploads 目录权限');
    }
}
?>

<form method="POST" enctype="multipart/form-data">
    &lt;input type=&quot;file&quot; name=&quot;upload&quot; required&gt;
    <button type="submit">上传</button>
</form>

注意 uploads/ 目录需手动创建并设好权限；uniqid() 避免同名覆盖，但生产环境建议用更健壮的文件名生成策略；真正的安全校验还需加 MIME 类型检测和病毒扫描，但那是另一层的事了。

理论要掌握，实操不能落！以上关于《PHP文件上传代码示例详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！

资料下载