PHP文件上传完整代码示例

golang学习网今天将给大家带来《PHP实现文件上传的完整代码示例》，感兴趣的朋友请继续看下去吧！以下内容将会涉及到等等知识点，如果你是正在学习文章或者已经是大佬级别了，都非常欢迎也希望大家都能给我建议评论哈~希望能帮助到大家！

答案：PHP文件上传需配置表单enctype、调整php.ini中upload_max_filesize、post_max_size等参数，通过PHP脚本处理文件并验证类型、大小、名称，生成唯一文件名存入安全目录，防止覆盖与执行，显示时通过安全脚本读取并输出文件内容，防范XSS与CSRF攻击。

直接说吧，PHP实现文件上传，核心在于HTML表单设置、PHP配置调整以及服务端脚本处理。看似简单，实则坑不少，比如文件大小限制、类型验证、安全漏洞等等。

文件上传功能完整代码示例

<?php
// 错误处理函数
function handle_upload_error($error_code) {
    $messages = [
        UPLOAD_ERR_OK         => '文件上传成功',
        UPLOAD_ERR_INI_SIZE   => '上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值',
        UPLOAD_ERR_FORM_SIZE  => '上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值',
        UPLOAD_ERR_PARTIAL    => '文件只有部分被上传',
        UPLOAD_ERR_NO_FILE      => '没有文件被上传',
        UPLOAD_ERR_NO_TMP_DIR   => '找不到临时文件夹',
        UPLOAD_ERR_CANT_WRITE   => '文件写入失败',
        UPLOAD_ERR_EXTENSION    => '由于 PHP 扩展程序中断了文件上传'
    ];
    return isset($messages[$error_code]) ? $messages[$error_code] : '未知上传错误';
}

// 文件上传处理脚本
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // 检查是否有文件上传
    if (isset($_FILES["uploadedFile"]) && $_FILES["uploadedFile"]["error"] == UPLOAD_ERR_OK) {

        $file_name = $_FILES["uploadedFile"]["name"];
        $file_tmp_name = $_FILES["uploadedFile"]["tmp_name"];
        $file_size = $_FILES["uploadedFile"]["size"];
        $file_type = $_FILES["uploadedFile"]["type"];

        // 文件类型验证（白名单）
        $allowed_types = ['image/jpeg', 'image/png', 'image/gif'];
        if (!in_array($file_type, $allowed_types)) {
            die("错误：不允许的文件类型。");
        }

        // 文件大小限制（单位：字节）
        $max_file_size = 204800; // 200KB
        if ($file_size > $max_file_size) {
            die("错误：文件大小超过限制。");
        }

        // 目标目录（确保目录存在且可写）
        $upload_dir = "uploads/";
        if (!is_dir($upload_dir)) {
            mkdir($upload_dir, 0777, true); // 创建目录，权限根据实际情况调整
        }

        // 生成唯一文件名，避免覆盖
        $new_file_name = uniqid() . "_" . $file_name;
        $destination = $upload_dir . $new_file_name;

        // 移动上传的文件到目标目录
        if (move_uploaded_file($file_tmp_name, $destination)) {
            echo "文件上传成功！ 存储在: " . $destination;
        } else {
            echo "文件上传失败。";
        }

    } else {
        // 处理上传错误
        $error_code = isset($_FILES["uploadedFile"]["error"]) ? $_FILES["uploadedFile"]["error"] : UPLOAD_ERR_NO_FILE;
        echo "上传错误： " . handle_upload_error($error_code);
    }
}
?>

<!DOCTYPE html>
<html>
<head>
    <title>文件上传示例</title>
</head>
<body>

    <form action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]); ?>" method="post" enctype="multipart/form-data">
        选择要上传的文件:
        &lt;input type=&quot;file&quot; name=&quot;uploadedFile&quot; id=&quot;uploadedFile&quot;&gt;
        &lt;input type=&quot;submit&quot; value=&quot;上传文件&quot; name=&quot;submit&quot;&gt;
    </form>

</body>
</html>

如何配置php.ini以支持大文件上传？

首先，找到你的php.ini文件。 通常在PHP安装目录下的php.ini-development或者php.ini-production，根据你的环境选择一个，然后复制一份并重命名为php.ini。

然后，编辑php.ini，找到以下几个配置项：

• upload_max_filesize： 这个选项控制上传文件的最大大小。 默认值通常是2M或者8M，你需要根据实际需求调整。 比如，你要允许上传50M的文件，就设置为upload_max_filesize = 50M。
• post_max_size： 这个选项控制POST请求的最大大小，包括上传的文件和其他POST数据。 必须大于或等于upload_max_filesize。 如果upload_max_filesize是50M，那么post_max_size至少也要是50M，最好稍微大一点，比如post_max_size = 60M。
• memory_limit： 这个选项控制PHP脚本可以使用的最大内存。 上传大文件时，PHP需要更多的内存来处理。 建议设置为大于post_max_size，比如memory_limit = 128M或者更高。
• max_execution_time： 这个选项控制PHP脚本的最大执行时间，单位是秒。 上传大文件可能需要更长的时间。 可以适当增加，比如max_execution_time = 300（5分钟）。
• max_input_time： 这个选项控制PHP脚本接收输入数据的最大时间，包括上传文件。 也需要适当增加，比如max_input_time = 300。

修改完成后，保存php.ini文件，然后重启你的Web服务器（比如Apache或者Nginx）或者PHP-FPM，使配置生效。

PHP文件上传的安全问题有哪些？如何防范？

安全问题简直是重中之重。

• 文件类型验证：别完全信任客户端传来的$_FILES["uploadedFile"]["type"]，这玩意儿可以伪造。 服务端必须进行严格的类型验证，只允许上传指定类型的文件，例如图片、文档等。使用白名单机制，只允许特定后缀的文件，比如.jpg, .png, .pdf。 更靠谱的做法是读取文件头信息，判断真实的文件类型。
• 文件大小限制：在php.ini中设置upload_max_filesize和post_max_size，同时在PHP脚本中也进行大小限制，双重保险。 防止上传过大的文件导致服务器资源耗尽。
• 文件名安全：上传的文件名可能包含恶意代码，比如.php后缀的文件。 要对文件名进行过滤，移除特殊字符，防止脚本注入。 最好是生成唯一的文件名，比如使用uniqid()函数，避免文件名冲突，也增加了安全性。
• 上传目录安全：上传目录必须设置合适的权限，禁止执行脚本。 比如，使用.htaccess文件禁止PHP脚本在该目录下执行。 同时，上传目录最好放在Web服务器无法直接访问的目录，通过PHP脚本进行访问。
• 防止文件覆盖：生成唯一文件名，避免覆盖已有的文件。 可以使用uniqid()函数或者time()函数生成唯一的文件名。
• XSS攻击：如果上传的文件内容包含HTML代码，可能会导致XSS攻击。 对上传的文件内容进行过滤，移除恶意代码。
• CSRF攻击：如果上传功能没有进行CSRF防护，可能会被恶意利用。 添加CSRF token，防止跨站请求伪造攻击。

如何显示上传的文件？

显示上传的文件，这又涉及到存储路径和访问权限的问题。

1. 确定存储路径：首先，你需要知道文件存储在服务器上的哪个目录。 这通常是在你的PHP上传脚本中定义的$upload_dir变量。 确保这个目录是Web服务器可以访问的，但最好不要直接暴露给用户。

2. 创建访问链接：你需要创建一个URL，用户可以通过这个URL访问上传的文件。 这个URL通常指向一个PHP脚本，该脚本负责读取文件并将其发送给浏览器。

3. 编写PHP脚本：创建一个PHP脚本（例如get_image.php），该脚本接收文件名的参数，然后读取文件并将其发送给浏览器。

<?php
// get_image.php

$upload_dir = "uploads/"; // 你的上传目录
$filename = $_GET['filename']; // 从URL获取文件名

// 安全检查：验证文件名是否合法，防止目录遍历攻击
$safe_filename = basename($filename); // 移除路径信息，只保留文件名
$filepath = $upload_dir . $safe_filename;

if (file_exists($filepath)) {
    // 设置Content-Type，根据文件类型设置
    $file_extension = strtolower(pathinfo($filepath, PATHINFO_EXTENSION));
    switch ($file_extension) {
        case "jpg":
        case "jpeg":
            header('Content-Type: image/jpeg');
            break;
        case "png":
            header('Content-Type: image/png');
            break;
        case "gif":
            header('Content-Type: image/gif');
            break;
        default:
            header('Content-Type: application/octet-stream'); // 未知类型，强制下载
            break;
    }

    // 读取文件并输出
    readfile($filepath);
} else {
    // 文件不存在，显示错误信息
    header('HTTP/1.0 404 Not Found');
    echo "文件不存在";
}
?>

4. HTML中显示图片：在你的HTML代码中，使用标签来显示图片。

<img src="get_image.php?filename=<?php echo $filename; ?>" alt="Uploaded Image">

其中$filename是上传文件的文件名，你需要将其替换为实际的文件名。

5. 安全性考虑：get_image.php脚本需要进行安全检查，防止用户通过URL参数访问任意文件。 可以使用basename()函数移除路径信息，只保留文件名。 还可以使用白名单机制，只允许访问指定目录下的文件。

这样，你就可以在网页上显示上传的文件了。记住，安全性是第一位的！

好了，本文到此结束，带大家了解了《PHP文件上传完整代码示例》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！