PHP判断文件扩展名的几种方法

PHP中安全判断文件扩展名的正确姿势是优先使用pathinfo()配合PATHINFO_EXTENSION常量提取扩展名，它能可靠处理多点文件名（如archive.tar.gz）和边界情况（如隐藏文件、无扩展名），再通过strtolower()统一转小写并与预定义白名单用in_array()比对，彻底规避substr/strrchr等手动截取带来的逻辑漏洞；需特别注意该方法不适用于流包装器路径，且扩展名校验仅为第一道防线，必须结合文件头检测、临时目录隔离等多重防护措施，才能真正抵御上传绕过攻击。

用 pathinfo() 提取扩展名最稳妥

PHP 判断文件扩展名，pathinfo() 是官方推荐且兼容性最好的方式。它能正确处理带多个点的文件名（比如 archive.tar.gz），而不会像字符串截取那样误判。

关键在于传入 PATHINFO_EXTENSION 常量：

$ext = pathinfo($filename, PATHINFO_EXTENSION);

注意：pathinfo() 返回的是小写扩展名（如 jpeg），但实际大小写取决于原始文件名；若需统一比对，建议手动转小写：

• strtolower(pathinfo($filename, PATHINFO_EXTENSION))
• 如果 $filename 是空或不含点（如 file），pathinfo() 返回空字符串，需提前校验
• 不支持流包装器路径（如 php://input），只适用于本地文件路径或纯字符串

别用 substr(strrchr()) 手动截取

常见错误写法：substr(strrchr($filename, '.'), 1) —— 看似简洁，但隐患多。

• 当文件名以点开头（如 .gitignore），strrchr() 返回完整字符串，截取后变成 gitignore，丢失“隐藏文件”语义
• 文件名无点（如 README）时，strrchr() 返回 false，substr(false, 1) 触发警告并返回空
• 遇到 image.jpeg.bak 这类备份名，会错误提取出 bak 而非 jpeg

判断是否允许的扩展名，直接用 in_array() 配合白名单

不要用 switch 或一堆 if/else 判断扩展名，既难维护又易漏。白名单 + in_array() 更安全清晰：

$allowed = ['jpg', 'jpeg', 'png', 'gif'];<br>$ext = strtolower(pathinfo($filename, PATHINFO_EXTENSION));<br>if (!in_array($ext, $allowed)) {<br>    // 拒绝上传或跳过处理<br>}

• 务必用小写统一比较，避免 JPG 和 jpg 被当成不同扩展名
• 不要依赖 mime_content_type() 或 finfo_file() 替代扩展名检查——它们判断的是内容类型，和扩展名是两回事，且开销大、不可靠（尤其对空文件或截断文件）
• 扩展名只是第一道过滤，真实场景中必须配合文件头检测和临时目录隔离

pathinfo() 在 Windows 路径下要注意反斜杠

Windows 用户可能传入类似 C:\uploads\photo.PNG 的路径。虽然 pathinfo() 内部会自动适配，但前提是路径分隔符没被双反斜杠破坏（如 C:\\uploads\\photo.PNG 是合法的，但 C:\uploads\photo.PNG 在 PHP 字符串里可能被解析错）。

• 读取用户输入或配置中的路径时，优先用 str_replace('\\', '/', $path) 统一分隔符
• 若路径来自 $_FILES['file']['name']，它永远是原始上传名（不含路径），无需处理反斜杠
• 在 open_basedir 限制环境下，pathinfo() 仍可安全使用，因为它不访问文件系统

真正容易被忽略的是：扩展名校验不能替代内容校验，尤其是用户可控的上传入口。哪怕 pathinfo() 返回了 php，也不代表文件真能执行——但攻击者可能通过 .php.jpg 绕过简单后缀检查，这时候白名单机制就暴露了逻辑漏洞。

今天关于《PHP判断文件扩展名的几种方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！