登录
推荐 文章 Go 技术 课程 下载 专题 AI
首页 >  文章 >  php教程

PHP 上传文件怎么安全校验:$_FILES、finfo 和 move_uploaded_file 实战

来源:17golang原创

时间:2026-07-08 14:58:59 409浏览 收藏

后台增加头像、合同附件、导入表格这类功能时,PHP 上传文件最怕的不是代码跑不起来,而是把“看起来像图片”的文件当成了真图片。比较稳的做法是把上传链路拆开:先看 $_FILES 的错误码和大小,再用 finfo_file 判断真实 MIME,文件名重新生成,最后用 move_uploaded_file 放进受控文件夹。后缀名可以作为展示参考,不能当作安全依据。

实践要点
  • UPLOAD_ERR_OK 只是第一道门,后面还要检查大小、MIME、保存路径和权限。
  • finfo_file 比用户提交的文件名、浏览器传来的 type 字段更适合做服务端判断。
  • 保存时用随机文件名,上传文件夹尽量不要直接暴露为可运行脚本的位置。
  • move_uploaded_file 会确认来源确实是 HTTP POST 上传文件,适合作为最终移动动作。

上传功能先分清业务边界

同样是文件上传,头像、商品主图、简历附件、后台批量导入的风险不一样。头像通常只允许图片,大小可以卡得很小;合同附件可能允许 PDF,但要记录归属人和业务单号;导入表格还要控制行数、字段和重复提交。

我一般先把边界写成几条普通规则,而不是一上来就堆代码:

检查项 推荐做法 常见坑
上传状态 只接受 UPLOAD_ERR_OK 忽略错误码,导致空文件也进入后续逻辑
文件大小 业务限制和 PHP 配置一起看 只改页面提示,不改服务端限制
文件类型 finfo_file 判断 MIME 只相信后缀名或 $_FILES['type']
保存名称 随机生成,保留映射记录 直接使用用户上传的原始文件名

PHP 文件上传从表单上传、临时文件、finfo 校验到安全落盘的边界链路

从 $_FILES 读取信息时别急着信任它

$_FILES 里有 nametypetmp_nameerrorsize 几个常见字段。这里面真正适合作为第一步判断的,是 errorsizenametype 都可能被客户端影响,不能直接拿来决定文件是否安全。

 2 * 1024 * 1024) {
    throw new RuntimeException('文件大小不符合要求');
}

$tmpPath = $file['tmp_name'];
if (!is_uploaded_file($tmpPath)) {
    throw new RuntimeException('上传来源异常');
}

这里先别急着处理图片尺寸或生成缩略图。只有确认文件确实来自上传流程,并且大小在业务允许范围内,后面的类型判断才有意义。否则一个空文件、过大的文件,或者异常来源路径,都会把排查范围拉得很散。

用 finfo_file 判断 MIME,而不是只看后缀

很多上传漏洞都不是靠“扩展名写错”产生的,而是服务端把扩展名当成了唯一证据。用户上传的 photo.jpg 不一定就是 JPEG,浏览器带过来的 type 也只是请求里的一个字段。服务端更可靠的判断方式,是使用 PHP 的 fileinfo 能力读取文件内容特征。

file($tmpPath);

$allowed = [
    'image/jpeg' => 'jpg',
    'image/png' => 'png',
    'image/webp' => 'webp',
];

if (!isset($allowed[$mime])) {
    throw new RuntimeException('只允许上传 JPG、PNG 或 WebP 图片');
}

$ext = $allowed[$mime];

如果业务允许 PDF、CSV、XLSX,也建议像上面一样做白名单映射。不要写成“只要不是某些类型就放行”,上传入口越靠近用户,越适合用白名单。

安全移动时把文件名和存储位置一起处理

校验完成后,原始文件名仍然不适合直接保存。它可能包含空格、中文、重复名、路径片段,也可能让后续下载展示变得混乱。更稳的方式是生成一个随机文件名,把原始文件名、MIME、大小、业务 ID 记录到数据库里,需要展示时读记录,不靠磁盘文件名表达业务含义。

PHP 上传文件用随机命名和站外存储减少原文件名带来的安全风险

move_uploaded_file 的一个好处是,它会确认来源文件确实是通过 HTTP POST 上传得到的临时文件。保存路径也别随手放在可以直接运行 PHP 脚本的位置,尤其是老项目里常见的 public/uploads。如果必须让浏览器访问,至少要限制脚本运行能力,并通过受控下载接口输出文件。

上线前再补一遍配置和回归检查

代码里的大小限制不等于最终限制。PHP 还会受到 upload_max_filesizepost_max_sizemax_file_uploads、临时文件夹权限等配置影响。Nginx 或网关也可能有请求体大小限制。线上出现“本地可以上传,服务器不行”,通常就是这些限制没对齐。

  • 上传一个超过业务大小限制的文件,确认返回的是友好错误,而不是空白页。
  • 把非图片文件改成 .jpg 后上传,确认会被 MIME 白名单挡住。
  • 上传同名文件两次,确认保存文件名不会互相覆盖。
  • 检查上传文件夹权限,确认 Web 服务进程能写入,但不能把用户文件当 PHP 代码运行。
  • 给上传成功记录加业务归属,后续清理无主文件时才不会误删。

常见问题

只限制前端 accept 属性够不够?

不够。accept 能改善用户选择文件的体验,但它不是安全校验。服务端仍然要检查错误码、大小、MIME 和保存路径。

$_FILES['type'] 可以直接用吗?

不建议作为安全依据。它来自请求信息,更适合做日志参考。真正决定是否放行时,建议用 finfo_file 这类服务端判断。

上传图片后还要不要重新编码?

头像、商品图这类公开展示图片,建议在业务允许时重新编码或生成缩略图。这样可以统一尺寸、压缩体积,也能减少异常图片格式带来的展示问题。

上传文件放 public 路径可以吗?

能不用就不用。更推荐放在应用控制的存储路径,再通过下载接口或静态资源代理输出。确实要放 public 下面,也要确保脚本不会被当成代码运行。

怎么处理上传成功但业务保存失败的文件?

给文件表加状态字段,先记录临时状态,业务单据保存成功后再改成可用;失败时定时清理临时文件。这样比“上传完就永久保存”更容易排查和回收。

小结

PHP 上传文件的安全点不在某一行代码,而在整条链路:错误码挡住异常上传,大小限制控制资源占用,finfo_file 负责类型判断,随机文件名避免覆盖和路径问题,move_uploaded_file 完成受控移动。把这几步固定下来,头像、附件、导入文件这类功能就会稳很多。

声明:本文转载于:17golang原创 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>