PHP 上传文件怎么安全校验:$_FILES、finfo 和 move_uploaded_file 实战
来源:17golang原创
时间:2026-07-08 14:58:59 409浏览 收藏
后台增加头像、合同附件、导入表格这类功能时,PHP 上传文件最怕的不是代码跑不起来,而是把“看起来像图片”的文件当成了真图片。比较稳的做法是把上传链路拆开:先看 $_FILES 的错误码和大小,再用 finfo_file 判断真实 MIME,文件名重新生成,最后用 move_uploaded_file 放进受控文件夹。后缀名可以作为展示参考,不能当作安全依据。
UPLOAD_ERR_OK只是第一道门,后面还要检查大小、MIME、保存路径和权限。finfo_file比用户提交的文件名、浏览器传来的type字段更适合做服务端判断。- 保存时用随机文件名,上传文件夹尽量不要直接暴露为可运行脚本的位置。
move_uploaded_file会确认来源确实是 HTTP POST 上传文件,适合作为最终移动动作。
上传功能先分清业务边界
同样是文件上传,头像、商品主图、简历附件、后台批量导入的风险不一样。头像通常只允许图片,大小可以卡得很小;合同附件可能允许 PDF,但要记录归属人和业务单号;导入表格还要控制行数、字段和重复提交。
我一般先把边界写成几条普通规则,而不是一上来就堆代码:
| 检查项 | 推荐做法 | 常见坑 |
|---|---|---|
| 上传状态 | 只接受 UPLOAD_ERR_OK |
忽略错误码,导致空文件也进入后续逻辑 |
| 文件大小 | 业务限制和 PHP 配置一起看 | 只改页面提示,不改服务端限制 |
| 文件类型 | 用 finfo_file 判断 MIME |
只相信后缀名或 $_FILES['type'] |
| 保存名称 | 随机生成,保留映射记录 | 直接使用用户上传的原始文件名 |

从 $_FILES 读取信息时别急着信任它
$_FILES 里有 name、type、tmp_name、error、size 几个常见字段。这里面真正适合作为第一步判断的,是 error 和 size;name 和 type 都可能被客户端影响,不能直接拿来决定文件是否安全。
2 * 1024 * 1024) {
throw new RuntimeException('文件大小不符合要求');
}
$tmpPath = $file['tmp_name'];
if (!is_uploaded_file($tmpPath)) {
throw new RuntimeException('上传来源异常');
}
这里先别急着处理图片尺寸或生成缩略图。只有确认文件确实来自上传流程,并且大小在业务允许范围内,后面的类型判断才有意义。否则一个空文件、过大的文件,或者异常来源路径,都会把排查范围拉得很散。
用 finfo_file 判断 MIME,而不是只看后缀
很多上传漏洞都不是靠“扩展名写错”产生的,而是服务端把扩展名当成了唯一证据。用户上传的 photo.jpg 不一定就是 JPEG,浏览器带过来的 type 也只是请求里的一个字段。服务端更可靠的判断方式,是使用 PHP 的 fileinfo 能力读取文件内容特征。
file($tmpPath);
$allowed = [
'image/jpeg' => 'jpg',
'image/png' => 'png',
'image/webp' => 'webp',
];
if (!isset($allowed[$mime])) {
throw new RuntimeException('只允许上传 JPG、PNG 或 WebP 图片');
}
$ext = $allowed[$mime];
如果业务允许 PDF、CSV、XLSX,也建议像上面一样做白名单映射。不要写成“只要不是某些类型就放行”,上传入口越靠近用户,越适合用白名单。
安全移动时把文件名和存储位置一起处理
校验完成后,原始文件名仍然不适合直接保存。它可能包含空格、中文、重复名、路径片段,也可能让后续下载展示变得混乱。更稳的方式是生成一个随机文件名,把原始文件名、MIME、大小、业务 ID 记录到数据库里,需要展示时读记录,不靠磁盘文件名表达业务含义。

move_uploaded_file 的一个好处是,它会确认来源文件确实是通过 HTTP POST 上传得到的临时文件。保存路径也别随手放在可以直接运行 PHP 脚本的位置,尤其是老项目里常见的 public/uploads。如果必须让浏览器访问,至少要限制脚本运行能力,并通过受控下载接口输出文件。
上线前再补一遍配置和回归检查
代码里的大小限制不等于最终限制。PHP 还会受到 upload_max_filesize、post_max_size、max_file_uploads、临时文件夹权限等配置影响。Nginx 或网关也可能有请求体大小限制。线上出现“本地可以上传,服务器不行”,通常就是这些限制没对齐。
- 上传一个超过业务大小限制的文件,确认返回的是友好错误,而不是空白页。
- 把非图片文件改成
.jpg后上传,确认会被 MIME 白名单挡住。 - 上传同名文件两次,确认保存文件名不会互相覆盖。
- 检查上传文件夹权限,确认 Web 服务进程能写入,但不能把用户文件当 PHP 代码运行。
- 给上传成功记录加业务归属,后续清理无主文件时才不会误删。
常见问题
只限制前端 accept 属性够不够?
不够。accept 能改善用户选择文件的体验,但它不是安全校验。服务端仍然要检查错误码、大小、MIME 和保存路径。
$_FILES['type'] 可以直接用吗?
不建议作为安全依据。它来自请求信息,更适合做日志参考。真正决定是否放行时,建议用 finfo_file 这类服务端判断。
上传图片后还要不要重新编码?
头像、商品图这类公开展示图片,建议在业务允许时重新编码或生成缩略图。这样可以统一尺寸、压缩体积,也能减少异常图片格式带来的展示问题。
上传文件放 public 路径可以吗?
能不用就不用。更推荐放在应用控制的存储路径,再通过下载接口或静态资源代理输出。确实要放 public 下面,也要确保脚本不会被当成代码运行。
怎么处理上传成功但业务保存失败的文件?
给文件表加状态字段,先记录临时状态,业务单据保存成功后再改成可用;失败时定时清理临时文件。这样比“上传完就永久保存”更容易排查和回收。
小结
PHP 上传文件的安全点不在某一行代码,而在整条链路:错误码挡住异常上传,大小限制控制资源占用,finfo_file 负责类型判断,随机文件名避免覆盖和路径问题,move_uploaded_file 完成受控移动。把这几步固定下来,头像、附件、导入文件这类功能就会稳很多。
-
255 收藏
-
459 收藏
-
282 收藏
-
381 收藏
-
144 收藏
-
164 收藏
-
文章 · php教程 | 1天前 | 文件上传 · php教程 · $_FILES · 上传安全 · MIME · PHP文件上传 move_uploaded_file $_FILES 文件校验 MIME PHP教程242 收藏
-
134 收藏
-
文章 · php教程 | 1星期前 | Redis · 迁移 · session · php教程 · 登录态 · redis session phpredis PHP教程 session.save_handler 分布式登录 回归检查145 收藏
-
199 收藏
-
232 收藏
-
336 收藏
-
178 收藏
-
471 收藏
-
240 收藏
-
文章 · php教程 | 1星期前 | 面向对象 · PHP · PHP8.4 · Property Hooks · 代码重构 · PHP教程 Getter PHP 8.4 Property Hooks setter464 收藏
-
476 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 立即学习 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 立即学习 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 立即学习 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 立即学习 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 立即学习 485次学习