PHP 上传文件怎么安全校验:$_FILES、finfo 和 move_uploaded_file 实战
后台增加头像、合同附件、导入表格这类功能时,PHP 上传文件最怕的不是代码跑不起来,而是把“看起来像图片”的文件当成了真图片。比较稳的做法是把上传链路拆开:先看 $_FILES 的错误码和大小,再用 finfo_file 判断真实 MIME,文件名重新生成,最后用 move_uploaded_file 放进受控文件夹。后缀名可以作为展示参考,不能当作安全依据。
UPLOAD_ERR_OK只是第一道门,后面还要检查大小、MIME、保存路径和权限。finfo_file比用户提交的文件名、浏览器传来的type字段更适合做服务端判断。- 保存时用随机文件名,上传文件夹尽量不要直接暴露为可运行脚本的位置。
move_uploaded_file会确认来源确实是 HTTP POST 上传文件,适合作为最终移动动作。
上传功能先分清业务边界
同样是文件上传,头像、商品主图、简历附件、后台批量导入的风险不一样。头像通常只允许图片,大小可以卡得很小;合同附件可能允许 PDF,但要记录归属人和业务单号;导入表格还要控制行数、字段和重复提交。
我一般先把边界写成几条普通规则,而不是一上来就堆代码:
| 检查项 | 推荐做法 | 常见坑 |
|---|---|---|
| 上传状态 | 只接受 UPLOAD_ERR_OK |
忽略错误码,导致空文件也进入后续逻辑 |
| 文件大小 | 业务限制和 PHP 配置一起看 | 只改页面提示,不改服务端限制 |
| 文件类型 | 用 finfo_file 判断 MIME |
只相信后缀名或 $_FILES['type'] |
| 保存名称 | 随机生成,保留映射记录 | 直接使用用户上传的原始文件名 |

从 $_FILES 读取信息时别急着信任它
$_FILES 里有 name、type、tmp_name、error、size 几个常见字段。这里面真正适合作为第一步判断的,是 error 和 size;name 和 type 都可能被客户端影响,不能直接拿来决定文件是否安全。
2 * 1024 * 1024) {
throw new RuntimeException('文件大小不符合要求');
}
$tmpPath = $file['tmp_name'];
if (!is_uploaded_file($tmpPath)) {
throw new RuntimeException('上传来源异常');
}
这里先别急着处理图片尺寸或生成缩略图。只有确认文件确实来自上传流程,并且大小在业务允许范围内,后面的类型判断才有意义。否则一个空文件、过大的文件,或者异常来源路径,都会把排查范围拉得很散。
用 finfo_file 判断 MIME,而不是只看后缀
很多上传漏洞都不是靠“扩展名写错”产生的,而是服务端把扩展名当成了唯一证据。用户上传的 photo.jpg 不一定就是 JPEG,浏览器带过来的 type 也只是请求里的一个字段。服务端更可靠的判断方式,是使用 PHP 的 fileinfo 能力读取文件内容特征。
file($tmpPath);
$allowed = [
'image/jpeg' => 'jpg',
'image/png' => 'png',
'image/webp' => 'webp',
];
if (!isset($allowed[$mime])) {
throw new RuntimeException('只允许上传 JPG、PNG 或 WebP 图片');
}
$ext = $allowed[$mime];
如果业务允许 PDF、CSV、XLSX,也建议像上面一样做白名单映射。不要写成“只要不是某些类型就放行”,上传入口越靠近用户,越适合用白名单。
安全移动时把文件名和存储位置一起处理
校验完成后,原始文件名仍然不适合直接保存。它可能包含空格、中文、重复名、路径片段,也可能让后续下载展示变得混乱。更稳的方式是生成一个随机文件名,把原始文件名、MIME、大小、业务 ID 记录到数据库里,需要展示时读记录,不靠磁盘文件名表达业务含义。

move_uploaded_file 的一个好处是,它会确认来源文件确实是通过 HTTP POST 上传得到的临时文件。保存路径也别随手放在可以直接运行 PHP 脚本的位置,尤其是老项目里常见的 public/uploads。如果必须让浏览器访问,至少要限制脚本运行能力,并通过受控下载接口输出文件。
上线前再补一遍配置和回归检查
代码里的大小限制不等于最终限制。PHP 还会受到 upload_max_filesize、post_max_size、max_file_uploads、临时文件夹权限等配置影响。Nginx 或网关也可能有请求体大小限制。线上出现“本地可以上传,服务器不行”,通常就是这些限制没对齐。
- 上传一个超过业务大小限制的文件,确认返回的是友好错误,而不是空白页。
- 把非图片文件改成
.jpg后上传,确认会被 MIME 白名单挡住。 - 上传同名文件两次,确认保存文件名不会互相覆盖。
- 检查上传文件夹权限,确认 Web 服务进程能写入,但不能把用户文件当 PHP 代码运行。
- 给上传成功记录加业务归属,后续清理无主文件时才不会误删。
常见问题
只限制前端 accept 属性够不够?
不够。accept 能改善用户选择文件的体验,但它不是安全校验。服务端仍然要检查错误码、大小、MIME 和保存路径。
$_FILES['type'] 可以直接用吗?
不建议作为安全依据。它来自请求信息,更适合做日志参考。真正决定是否放行时,建议用 finfo_file 这类服务端判断。
上传图片后还要不要重新编码?
头像、商品图这类公开展示图片,建议在业务允许时重新编码或生成缩略图。这样可以统一尺寸、压缩体积,也能减少异常图片格式带来的展示问题。
上传文件放 public 路径可以吗?
能不用就不用。更推荐放在应用控制的存储路径,再通过下载接口或静态资源代理输出。确实要放 public 下面,也要确保脚本不会被当成代码运行。
怎么处理上传成功但业务保存失败的文件?
给文件表加状态字段,先记录临时状态,业务单据保存成功后再改成可用;失败时定时清理临时文件。这样比“上传完就永久保存”更容易排查和回收。
小结
PHP 上传文件的安全点不在某一行代码,而在整条链路:错误码挡住异常上传,大小限制控制资源占用,finfo_file 负责类型判断,随机文件名避免覆盖和路径问题,move_uploaded_file 完成受控移动。把这几步固定下来,头像、附件、导入文件这类功能就会稳很多。
前端长页面渲染卡顿怎么排查:用 content-visibility 跳过离屏区块
- 上一篇
- 前端长页面渲染卡顿怎么排查:用 content-visibility 跳过离屏区块
- 下一篇
- Chrome 151 Beta 新增 WheelEvent.momentum:滚动惯性事件能区分了
-
- 文章 · php教程 | 22小时前 | 日志 · HTTP · 超时控制 · php教程 · 接口监控 · 请求超时 stream_context_create PHP教程 PHP HTTP请求 接口探测器
- PHP HTTP 超时探测器怎么写:状态码、耗时和日志验收
- 289浏览 收藏
-
- 文章 · php教程 | 1天前 | [] · []
- PHP Session 高并发为什么会卡住:从文件锁迁到 Redis 会话存储
- 164浏览 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
-
- ljg-skills
- ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
- 4394次使用
-
- MELO音乐
- MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
- 4065次使用
-
- UniScribe
- UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
- 4047次使用
-
- 剧云
- 剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
- 4233次使用
-
- 万象有声
- 万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
- 4203次使用
-
- Go语言实现文件上传
- 2023-01-23 255浏览
-
- golang gin框架实现大文件的流式上传功能
- 2022-12-25 459浏览
-
- Golang实现http文件上传小功能的案例
- 2023-01-07 282浏览
-
- 用go gin server来做文件上传服务
- 2023-02-16 381浏览
-
- Go os.Root 实战:文件上传和解压,别再让 ../ 偷偷逃出目录
- 2026-06-02 144浏览

