当前位置:首页 > 文章列表 > 文章 > php教程 > PHP 文件上传怎么做才安全:从 $_FILES 校验到落盘和清理

PHP 文件上传怎么做才安全:从 $_FILES 校验到落盘和清理

来源:17golang原创 2026-07-07 16:19:43 0浏览 收藏

PHP 文件上传最容易出问题的地方,不是 move_uploaded_file() 这一行,而是保存之前的校验做得太敷衍:只检查扩展名、完全信任浏览器传来的文件名、把文件直接丢进全站可访问的路径,这些操作都会给后续的安全排查埋坑。更稳妥的实现思路,是把上传当成一条完整的数据生命周期来处理:先接收 $_FILES,再依次校验错误码、文件大小、MIME 类型和扩展名,随后生成服务端专属文件名完成安全落盘,最后把路径、大小、类型和业务归属关系存成记录,方便后续查询、回收和审计。

实践要点

  • 上传入口先校验 UPLOAD_ERR_OK,不要跳过错误码直接操作临时文件。
  • 扩展名、MIME 类型、文件大小要一起校验,任何一项不符合预期都直接拒绝请求。
  • 最终落盘的文件名完全由服务端生成,用户上传的原始文件名只适合做页面展示字段,绝对不能直接当成存储路径使用。
  • 上传文件夹尽量和站点代码文件夹物理分开,常规图片预览走受控的静态资源地址,非公开附件统一走带鉴权的下载接口返回。

把上传看成完整数据流,而不是一行简单的保存代码

很多老项目里的上传代码写得非常粗放:拿到 $_FILES['file'],随便拼个存储文件夹,直接调用 move_uploaded_file(),然后就把路径写进数据库。这个流程虽然短,但出了问题根本没法排查:到底是浏览器没把文件传上来、文件体积超出限制、格式不符合要求、文件夹没有写入权限,还是后面写数据库的时候出错了?

更推荐把上传流程拆成几个边界清晰的独立状态。每个状态只负责一件事,操作失败的时候也能返回明确的错误原因。

PHP 文件上传从接收 $_FILES 到校验文件、安全落盘和保存记录的数据生命周期

阶段 主要检查项 失败时处理逻辑
接收上传 UPLOAD_ERR_OK、上传字段是否存在 返回明确错误提示,不读取后续临时文件
校验文件 大小、MIME 类型、扩展名 拒绝保存并记录对应的业务失败原因
安全落盘 文件夹权限、服务端生成文件名合法性 删除残留临时状态,提示用户稍后重试
保存记录 关联业务 ID、存储路径、大小、类型 回滚已经保存的文件或者标记为待后续清理

入口校验优先从上传错误码开始

$_FILES 里本身已经自带了上传错误码,不少开发者会直接忽略它,转头就去读取 tmp_name。这一步校验完全没必要省,因为文件大小超出 upload_max_filesize、表单上传字段缺失、上传中途中断这类异常,都会先反映在错误码里。

这里不需要急着执行保存操作,先确认「这确实是一份通过合法 HTTP 请求上传生成的临时文件」。入口越早把异常请求挡住,后面的业务代码逻辑就越干净。

扩展名、MIME 类型和文件大小要组合校验

只校验扩展名的防护非常脆弱,攻击者完全可以把可执行文件的后缀改成 .jpg 来绕过检测。只信任浏览器提交的 type 同样不靠谱,因为这个值完全可以由客户端随意篡改。更可靠的方案是由服务端自己读取文件内容判断真实 MIME 类型,同时把允许上传的范围写成固定白名单。

 $maxSize) {
        throw new RuntimeException('文件大小超出限制');
    }

    $finfo = new finfo(FILEINFO_MIME_TYPE);
    $mime = $finfo->file($file['tmp_name']);

    $allowed = [
        'image/jpeg' => 'jpg',
        'image/png'  => 'png',
        'image/webp' => 'webp',
    ];

    if (!isset($allowed[$mime])) {
        throw new RuntimeException('文件类型不在允许范围内');
    }

    return [$mime, $allowed[$mime]];
}

PHP 文件上传通过扩展名 MIME 和大小限制拒绝不安全文件

如果是头像、封面图、商品配图这类明确的图片场景,白名单范围应该设置得更窄。不要为了所谓的兼容性把上传入口做成什么文件都能接收,业务场景越明确,规则就越好定义,安全边界也会越清晰。

文件落盘时不要信任用户提交的原始文件名

用户上传的原始文件名可以单独存到数据库里做页面展示用,但绝对不能直接作为服务器上的存储路径。文件名里可能包含空格、特殊控制字符、同名覆盖风险,甚至是用来绕过路径边界的特殊片段。由服务端统一生成文件名会省心很多。

 $target,
        'name' => $name,
    ];
}

生产环境部署时还要额外考虑文件夹权限和访问控制。公开类图片可以放到静态资源路径下,但最好只对外暴露经过规则处理后的访问地址;合同、证件、批量导入表格这类敏感文件,不建议直接放在可直接访问的公开路径下,应该通过带鉴权逻辑的下载接口校验权限后再返回内容。

存储记录和清理策略同样不能忽视

上传流程到文件落盘并不算结束。数据库里至少要记录关联的业务对象、服务端存储路径、原始文件名、MIME 类型、文件大小、上传操作人和文件状态字段。后续做列表展示、权限判断、容量统计、过期清理这些操作时,才有明确的数据依据。

 $userId,
    'origin_name' => $file['name'],
    'stored_name' => $saved['name'],
    'stored_path' => $saved['path'],
    'mime' => $mime,
    'size' => $file['size'],
    'status' => 'ready',
];

清理策略也要提前规划好。比如上传成功但后续业务表保存失败时,已经落盘的文件要不要立刻删除;用户替换头像后,旧的头像文件是不是可以延迟一段时间再清理;批量导入任务失败后,原始上传文件最多保留多长时间。把这些规则写成定时任务或者后台清理脚本统一执行,比等到磁盘告警之后再手动翻找零散文件要高效得多。

相关问题

PHP 上传图片只判断后缀名可以吗?

不建议这么做。后缀名只能说明文件名的后缀看起来是图片格式,完全不能证明文件本身内容是安全的。至少要结合真实 MIME 检测、大小限制和业务场景白名单一起校验。

上传文件夹可以放在 public 公开路径下面吗?

普通公开图片可以存放,但要严格控制允许写入的文件类型和对外暴露的访问路径。非公开附件、导入文件、证件类资料更适合放在站点根路径以外的非公开文件夹,通过下载接口鉴权通过后再返回内容。

为什么 move_uploaded_file 执行后返回 false?

常见原因包括临时文件已经不存在、目标存储文件夹没有写入权限、目标文件路径拼接错误、文件不是通过合法 HTTP 上传生成的临时文件。调试的时候先打印出完整存储路径、系统错误码和 is_uploaded_file() 的返回结果,不要不加判断直接重试。

数据库保存失败后对应的上传文件怎么处理?

简单场景可以直接立即删除已经落盘的文件;更复杂的业务场景可以先把文件标记为待清理状态,再由定时任务统一扫描回收。核心是一定要有对应的状态记录,不能让无效文件静默留在磁盘里占空间。

版本声明
本文转载于:17golang原创 如有侵犯,请联系study_golang@163.com删除
Go 写 SSE 接口为什么浏览器收不到消息:EventSource、Flush 和超时怎么排查Go 写 SSE 接口为什么浏览器收不到消息:EventSource、Flush 和超时怎么排查
上一篇
Go 写 SSE 接口为什么浏览器收不到消息:EventSource、Flush 和超时怎么排查
Go 接口跨域怎么处理:CORS 预检请求、白名单和响应头实战
下一篇
Go 接口跨域怎么处理:CORS 预检请求、白名单和响应头实战
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    543次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    516次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    500次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    485次学习
查看更多
AI推荐
  • ljg-skills -
    ljg-skills
    ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
    4368次使用
  • MELO音乐 - AI 音乐生成平台,支持多模态创作能力
    MELO音乐
    MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
    4048次使用
  • UniScribe - AI 免费在线音视频转文字平台
    UniScribe
    UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
    4036次使用
  • 剧云 - 免费 AI 智能中文剧本创作平台
    剧云
    剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
    4219次使用
  • 万象有声 - AI 一站式有声内容创作平台
    万象有声
    万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
    4189次使用
微信登录更方便
  • 密码登录
  • 注册账号
登录即同意 用户协议隐私政策
返回登录
  • 重置密码