首先创建含enctype的HTML表单,再通过PHP接收文件并检查大小、类型、真实性,重命名后移动至安全目录,防止恶意上传。
实现文件上传功能时,不仅要考虑基本的上传流程,还要重视安全验证,防止恶意文件上传。下面介绍如何用PHP完成文件上传,并加入必要的安全检查。
1. 创建HTML上传表单
前端需要一个表单,设置正确的编码类型 enctype="multipart/form-data",才能提交文件数据:
zuojiankuohaophpcnform action="upload.php" method="post" enctype="multipart/form-data"><input type="file" name="uploadFile" required>
<button type="submit">上传文件</button>
</form>
2. PHP处理上传文件
在 upload.php 中接收并处理上传的文件。使用 $_FILES 超全局数组获取上传信息:
码上飞 码上飞(CodeFlying) 是一款AI自动化开发平台,通过自然语言描述即可自动生成完整应用程序。
138 查看详情 
$targetDir = "uploads/";$targetFile = $targetDir . basename($_FILES["uploadFile"]["name"]);
$uploadOk = 1;
$imageFileType = strtolower(pathinfo($targetFile, PATHINFO_EXTENSION));
// 检查是否是真实图片(如果是图片上传)
if (isset($_POST["submit"])) {
$check = getimagesize($_FILES["uploadFile"]["tmp_name"]);
if ($check !== false) {
echo "文件是图片 - " . $check["mime"] . ".";
} else {
echo "文件不是有效图片。";
$uploadOk = 0;
}
}
3. 安全验证措施
为防止攻击,必须对上传文件进行多重验证:
立即学习“PHP免费学习笔记(深入)”;
限制文件大小:通过 PHP 配置或代码判断。例如,限制为 2MB: if ($_FILES["uploadFile"]["size"] > 2097152) {echo "文件太大。";
$uploadOk = 0;
}验证文件类型:不要只依赖扩展名,应结合 MIME 类型和文件头检测: $allowedTypes = array("jpg", "jpeg", "png", "gif");
if (!in_array($imageFileType, $allowedTypes)) {
echo "只允许 JPG、JPEG、PNG 和 GIF 文件。";
$uploadOk = 0;
}重命名文件:避免覆盖或执行恶意脚本: $newFileName = uniqid() . '.' . $imageFileType;
$targetFile = $targetDir . $newFileName;禁止执行脚本:将上传目录置于 Web 根目录之外,或在该目录的 .htaccess 中禁用脚本执行:php_flag engine off
Options -ExecCGI
RemoveHandler .php .phtml .pl .py .jsp
4. 移动文件并完成上传
所有检查通过后,使用 move_uploaded_file() 将临时文件移动到目标位置:
if ($uploadOk == 1) {if (move_uploaded_file($_FILES["uploadFile"]["tmp_name"], $targetFile)) {
echo "文件 ". htmlspecialchars(basename($_FILES["uploadFile"]["name"])) . " 上传成功。";
} else {
echo "上传失败,请重试。";
}
}
基本上就这些。只要做好类型检查、大小限制、路径安全和文件重命名,就能有效防止大多数上传漏洞。不复杂但容易忽略细节。
以上就是PHP代码怎么实现文件上传功能_PHP文件上传处理与安全验证方法的详细内容,更多请关注php中文网其它相关文章!
