在php项目开发中,文件上传功能的使用场景非常广泛,比如用户头像上传、附件提交、资源导入等。实现该功能并不复杂,但必须严格遵守安全规范,否则会给服务器带来严重的安全隐患。接下来我们将从基础实现到安全防护逐步讲解。
一、基础文件上传实现流程
1. 前端表单配置
前端需要使用form标签提交文件,必须设置enctype属性为multipart/form-data,同时表单提交方式要设置为post,否则文件数据无法正确传递到后端。
<form action="upload.php" method="post" enctype="multipart/form-data">
<label for="file">选择上传文件:</label>
<input type="file" name="upload_file" id="file">
<input type="submit" value="上传">
</form>2. 后端php接收处理
php会通过全局数组$_FILES接收上传的文件信息,该数组包含文件的名称、类型、临时存储路径、大小、错误码等信息。我们首先要判断上传是否成功,再处理文件移动逻辑。
<?php
// 检查是否有文件上传
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_FILES['upload_file'])) {
$file = $_FILES['upload_file'];
// 检查上传是否有错误
if ($file['error'] !== UPLOAD_ERR_OK) {
echo '文件上传失败,错误码:' . $file['error'];
exit;
}
// 临时文件路径
$tmpPath = $file['tmp_name'];
// 原始文件名
$originName = $file['name'];
// 目标存储目录,需要确保目录存在且有写入权限
$targetDir = './uploads/';
if (!is_dir($targetDir)) {
mkdir($targetDir, 0755, true);
}
$targetPath = $targetDir . $originName;
// 移动临时文件到目标路径
if (move_uploaded_file($tmpPath, $targetPath)) {
echo '文件上传成功,存储路径:' . $targetPath;
} else {
echo '文件移动失败';
}
}
?>二、必须遵循的文件上传安全规范
1. 文件大小限制
需要在php配置和代码层面双重限制上传文件大小,避免大文件占满服务器磁盘。首先在php.ini中设置upload_max_filesize和post_max_size,比如都设置为10M,然后在代码中再做校验。
<?php
// 限制文件大小不超过2M,单位字节
$maxSize = 2 * 1024 * 1024;
if ($file['size'] > $maxSize) {
echo '文件大小不能超过2M';
exit;
}
?>2. 文件类型校验
不能仅依赖前端传递的type字段或者文件后缀判断类型,这些都可以被伪造。正确的做法是获取文件的真实MIME类型,同时限制允许的后缀白名单。
<?php
// 允许的文件后缀白名单
$allowExt = ['jpg', 'jpeg', 'png', 'gif', 'pdf', 'doc', 'docx'];
// 获取文件后缀
$ext = strtolower(pathinfo($originName, PATHINFO_EXTENSION));
if (!in_array($ext, $allowExt)) {
echo '不允许的文件类型';
exit;
}
// 获取真实MIME类型
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $tmpPath);
finfo_close($finfo);
// 允许的MIME类型白名单
$allowMime = ['image/jpeg', 'image/png', 'image/gif', 'application/pdf', 'application/msword', 'application/vnd.openxmlformats-officedocument.wordprocessingml.document'];
if (!in_array($mime, $allowMime)) {
echo '文件MIME类型不合法';
exit;
}
?>3. 文件路径与名称安全处理
不要直接使用用户上传的原始文件名存储,避免路径遍历攻击和文件名冲突。建议生成唯一的文件名,同时禁止将上传目录设置为web可访问的目录,或者限制该目录的执行权限。
<?php // 生成唯一文件名,避免冲突和路径遍历 $newFileName = md5(uniqid() . $originName) . '.' . $ext; $targetPath = $targetDir . $newFileName; // 禁止上传目录有执行权限,如果是linux服务器可以执行命令 chmod -R 755 ./uploads // 同时可以在服务器配置中禁止该目录解析php等脚本文件 ?>
4. 其他安全注意事项
- 不要将
$_FILES['upload_file']['tmp_name']直接作为路径拼接到系统命令中,避免命令注入攻击 - 定期清理上传目录的临时文件,避免临时文件堆积
- 如果上传的文件需要对外访问,建议通过php脚本做权限校验后再输出,不要直接暴露存储路径
- 对上传功能做访问频率限制,避免恶意批量上传攻击
三、完整安全上传示例代码
以下是整合了所有安全规范的完整上传代码,可以直接参考使用。
<?php
$result = ['code' => 0, 'msg' => ''];
if ($_SERVER['REQUEST_METHOD'] !== 'POST' || !isset($_FILES['upload_file'])) {
$result['msg'] = '请求方式错误或无上传文件';
echo json_encode($result);
exit;
}
$file = $_FILES['upload_file'];
// 检查上传错误
if ($file['error'] !== UPLOAD_ERR_OK) {
$result['msg'] = '文件上传失败,错误码:' . $file['error'];
echo json_encode($result);
exit;
}
$tmpPath = $file['tmp_name'];
$originName = $file['name'];
// 文件大小限制 2M
$maxSize = 2 * 1024 * 1024;
if ($file['size'] > $maxSize) {
$result['msg'] = '文件大小不能超过2M';
echo json_encode($result);
exit;
}
// 后缀白名单
$allowExt = ['jpg', 'jpeg', 'png', 'gif', 'pdf', 'doc', 'docx'];
$ext = strtolower(pathinfo($originName, PATHINFO_EXTENSION));
if (!in_array($ext, $allowExt)) {
$result['msg'] = '不允许的文件类型';
echo json_encode($result);
exit;
}
// MIME类型校验
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $tmpPath);
finfo_close($finfo);
$allowMime = ['image/jpeg', 'image/png', 'image/gif', 'application/pdf', 'application/msword', 'application/vnd.openxmlformats-officedocument.wordprocessingml.document'];
if (!in_array($mime, $allowMime)) {
$result['msg'] = '文件MIME类型不合法';
echo json_encode($result);
exit;
}
// 存储目录处理
$targetDir = './uploads/';
if (!is_dir($targetDir)) {
mkdir($targetDir, 0755, true);
}
// 生成唯一文件名
$newFileName = md5(uniqid() . $originName) . '.' . $ext;
$targetPath = $targetDir . $newFileName;
// 移动文件
if (move_uploaded_file($tmpPath, $targetPath)) {
$result['code'] = 1;
$result['msg'] = '上传成功';
$result['path'] = $targetPath;
} else {
$result['msg'] = '文件移动失败';
}
echo json_encode($result);
?>