当前位置:首页 > 文章列表 > 文章 > php教程 > PHP 上传文件怎么安全校验:$_FILES、finfo 和 move_uploaded_file 实战

PHP 上传文件怎么安全校验:$_FILES、finfo 和 move_uploaded_file 实战

来源:17golang原创 2026-07-08 14:58:59 0浏览 收藏

后台增加头像、合同附件、导入表格这类功能时,PHP 上传文件最怕的不是代码跑不起来,而是把“看起来像图片”的文件当成了真图片。比较稳的做法是把上传链路拆开:先看 $_FILES 的错误码和大小,再用 finfo_file 判断真实 MIME,文件名重新生成,最后用 move_uploaded_file 放进受控文件夹。后缀名可以作为展示参考,不能当作安全依据。

实践要点
  • UPLOAD_ERR_OK 只是第一道门,后面还要检查大小、MIME、保存路径和权限。
  • finfo_file 比用户提交的文件名、浏览器传来的 type 字段更适合做服务端判断。
  • 保存时用随机文件名,上传文件夹尽量不要直接暴露为可运行脚本的位置。
  • move_uploaded_file 会确认来源确实是 HTTP POST 上传文件,适合作为最终移动动作。

上传功能先分清业务边界

同样是文件上传,头像、商品主图、简历附件、后台批量导入的风险不一样。头像通常只允许图片,大小可以卡得很小;合同附件可能允许 PDF,但要记录归属人和业务单号;导入表格还要控制行数、字段和重复提交。

我一般先把边界写成几条普通规则,而不是一上来就堆代码:

检查项 推荐做法 常见坑
上传状态 只接受 UPLOAD_ERR_OK 忽略错误码,导致空文件也进入后续逻辑
文件大小 业务限制和 PHP 配置一起看 只改页面提示,不改服务端限制
文件类型 finfo_file 判断 MIME 只相信后缀名或 $_FILES['type']
保存名称 随机生成,保留映射记录 直接使用用户上传的原始文件名

PHP 文件上传从表单上传、临时文件、finfo 校验到安全落盘的边界链路

从 $_FILES 读取信息时别急着信任它

$_FILES 里有 nametypetmp_nameerrorsize 几个常见字段。这里面真正适合作为第一步判断的,是 errorsizenametype 都可能被客户端影响,不能直接拿来决定文件是否安全。

 2 * 1024 * 1024) {
    throw new RuntimeException('文件大小不符合要求');
}

$tmpPath = $file['tmp_name'];
if (!is_uploaded_file($tmpPath)) {
    throw new RuntimeException('上传来源异常');
}

这里先别急着处理图片尺寸或生成缩略图。只有确认文件确实来自上传流程,并且大小在业务允许范围内,后面的类型判断才有意义。否则一个空文件、过大的文件,或者异常来源路径,都会把排查范围拉得很散。

用 finfo_file 判断 MIME,而不是只看后缀

很多上传漏洞都不是靠“扩展名写错”产生的,而是服务端把扩展名当成了唯一证据。用户上传的 photo.jpg 不一定就是 JPEG,浏览器带过来的 type 也只是请求里的一个字段。服务端更可靠的判断方式,是使用 PHP 的 fileinfo 能力读取文件内容特征。

file($tmpPath);

$allowed = [
    'image/jpeg' => 'jpg',
    'image/png' => 'png',
    'image/webp' => 'webp',
];

if (!isset($allowed[$mime])) {
    throw new RuntimeException('只允许上传 JPG、PNG 或 WebP 图片');
}

$ext = $allowed[$mime];

如果业务允许 PDF、CSV、XLSX,也建议像上面一样做白名单映射。不要写成“只要不是某些类型就放行”,上传入口越靠近用户,越适合用白名单。

安全移动时把文件名和存储位置一起处理

校验完成后,原始文件名仍然不适合直接保存。它可能包含空格、中文、重复名、路径片段,也可能让后续下载展示变得混乱。更稳的方式是生成一个随机文件名,把原始文件名、MIME、大小、业务 ID 记录到数据库里,需要展示时读记录,不靠磁盘文件名表达业务含义。

PHP 上传文件用随机命名和站外存储减少原文件名带来的安全风险

move_uploaded_file 的一个好处是,它会确认来源文件确实是通过 HTTP POST 上传得到的临时文件。保存路径也别随手放在可以直接运行 PHP 脚本的位置,尤其是老项目里常见的 public/uploads。如果必须让浏览器访问,至少要限制脚本运行能力,并通过受控下载接口输出文件。

上线前再补一遍配置和回归检查

代码里的大小限制不等于最终限制。PHP 还会受到 upload_max_filesizepost_max_sizemax_file_uploads、临时文件夹权限等配置影响。Nginx 或网关也可能有请求体大小限制。线上出现“本地可以上传,服务器不行”,通常就是这些限制没对齐。

  • 上传一个超过业务大小限制的文件,确认返回的是友好错误,而不是空白页。
  • 把非图片文件改成 .jpg 后上传,确认会被 MIME 白名单挡住。
  • 上传同名文件两次,确认保存文件名不会互相覆盖。
  • 检查上传文件夹权限,确认 Web 服务进程能写入,但不能把用户文件当 PHP 代码运行。
  • 给上传成功记录加业务归属,后续清理无主文件时才不会误删。

常见问题

只限制前端 accept 属性够不够?

不够。accept 能改善用户选择文件的体验,但它不是安全校验。服务端仍然要检查错误码、大小、MIME 和保存路径。

$_FILES['type'] 可以直接用吗?

不建议作为安全依据。它来自请求信息,更适合做日志参考。真正决定是否放行时,建议用 finfo_file 这类服务端判断。

上传图片后还要不要重新编码?

头像、商品图这类公开展示图片,建议在业务允许时重新编码或生成缩略图。这样可以统一尺寸、压缩体积,也能减少异常图片格式带来的展示问题。

上传文件放 public 路径可以吗?

能不用就不用。更推荐放在应用控制的存储路径,再通过下载接口或静态资源代理输出。确实要放 public 下面,也要确保脚本不会被当成代码运行。

怎么处理上传成功但业务保存失败的文件?

给文件表加状态字段,先记录临时状态,业务单据保存成功后再改成可用;失败时定时清理临时文件。这样比“上传完就永久保存”更容易排查和回收。

小结

PHP 上传文件的安全点不在某一行代码,而在整条链路:错误码挡住异常上传,大小限制控制资源占用,finfo_file 负责类型判断,随机文件名避免覆盖和路径问题,move_uploaded_file 完成受控移动。把这几步固定下来,头像、附件、导入文件这类功能就会稳很多。

版本声明
本文转载于:17golang原创 如有侵犯,请联系study_golang@163.com删除
前端长页面渲染卡顿怎么排查:用 content-visibility 跳过离屏区块前端长页面渲染卡顿怎么排查:用 content-visibility 跳过离屏区块
上一篇
前端长页面渲染卡顿怎么排查:用 content-visibility 跳过离屏区块
Chrome 151 Beta 新增 WheelEvent.momentum:滚动惯性事件能区分了
下一篇
Chrome 151 Beta 新增 WheelEvent.momentum:滚动惯性事件能区分了
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    543次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    516次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    500次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    485次学习
查看更多
AI推荐
  • ljg-skills -
    ljg-skills
    ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
    4394次使用
  • MELO音乐 - AI 音乐生成平台,支持多模态创作能力
    MELO音乐
    MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
    4065次使用
  • UniScribe - AI 免费在线音视频转文字平台
    UniScribe
    UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
    4047次使用
  • 剧云 - 免费 AI 智能中文剧本创作平台
    剧云
    剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
    4233次使用
  • 万象有声 - AI 一站式有声内容创作平台
    万象有声
    万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
    4203次使用
微信登录更方便
  • 密码登录
  • 注册账号
登录即同意 用户协议隐私政策
返回登录
  • 重置密码