php实现文件上传主要依赖全局数组$_FILES获取上传文件的信息,通过move_uploaded_file函数将临时文件转移到指定存储目录完成上传。多文件上传的场景下,前端表单的name属性需要设置为数组形式,后端再对$_FILES数组进行遍历处理即可。

一、单文件上传基础实现
1.1 前端上传表单
前端需要设置form的enctype为multipart/form-data,否则无法正确传递文件数据,代码如下:
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="single_file">
<input type="submit" value="上传文件">
</form>
1.2 后端单文件处理逻辑
后端通过$_FILES['single_file']获取文件信息,包含文件名、临时路径、大小、错误码等,基础上传代码如下:
<?php
// 检查是否有文件上传
if (isset($_FILES['single_file'])) {
$file = $_FILES['single_file'];
// 检查上传是否出错
if ($file['error'] !== UPLOAD_ERR_OK) {
die('文件上传出错,错误码:' . $file['error']);
}
// 设置存储目录,需要确保目录有写入权限
$uploadDir = './uploads/';
if (!is_dir($uploadDir)) {
mkdir($uploadDir, 0755, true);
}
// 拼接目标文件路径
$targetPath = $uploadDir . basename($file['name']);
// 移动临时文件到目标路径
if (move_uploaded_file($file['tmp_name'], $targetPath)) {
echo '文件上传成功,路径:' . $targetPath;
} else {
echo '文件移动失败';
}
}
?>
二、多文件上传实现
2.1 前端多文件表单
前端需要将input的name设置为数组形式,同时添加multiple属性支持多选,代码如下:
<form action="multi_upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="multi_files[]" multiple>
<input type="submit" value="上传多文件">
</form>
2.2 后端多文件遍历处理
多文件上传时$_FILES['multi_files']的结构是二维数组,需要遍历处理每个文件,代码如下:
<?php
if (isset($_FILES['multi_files'])) {
$files = $_FILES['multi_files'];
$uploadDir = './uploads/';
if (!is_dir($uploadDir)) {
mkdir($uploadDir, 0755, true);
}
// 遍历所有上传的文件
$fileCount = count($files['name']);
for ($i = 0; $i < $fileCount; $i++) {
// 检查单个文件的上传错误
if ($files['error'][$i] !== UPLOAD_ERR_OK) {
echo '文件' . $files['name'][$i] . '上传出错,跳过<br>';
continue;
}
$tmpName = $files['tmp_name'][$i];
$fileName = basename($files['name'][$i]);
$targetPath = $uploadDir . $fileName;
if (move_uploaded_file($tmpName, $targetPath)) {
echo '文件' . $fileName . '上传成功<br>';
} else {
echo '文件' . $fileName . '移动失败<br>';
}
}
}
?>
三、文件上传安全校验
基础的上传逻辑没有做安全校验,容易被上传恶意脚本文件,需要添加以下校验规则:
3.1 文件类型校验
不要仅依赖$_FILES中的type字段,因为该字段是浏览器传递的可以被伪造,建议通过finfo_file函数获取真实的MIME类型,同时校验文件扩展名:
<?php
// 允许的文件MIME类型
$allowMime = ['image/jpeg', 'image/png', 'application/pdf'];
// 允许的文件扩展名
$allowExt = ['jpg', 'jpeg', 'png', 'pdf'];
// 获取文件真实MIME类型
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $tmpName);
finfo_close($finfo);
// 获取文件扩展名
$ext = strtolower(pathinfo($fileName, PATHINFO_EXTENSION));
if (!in_array($mime, $allowMime) || !in_array($ext, $allowExt)) {
die('不允许的文件类型');
}
?>
3.2 文件大小校验
限制上传文件的大小,避免大文件占用服务器存储空间:
<?php
// 限制文件大小为2MB,单位字节
$maxSize = 2 * 1024 * 1024;
if ($files['size'][$i] > $maxSize) {
die('文件大小不能超过2MB');
}
?>
3.3 存储路径与文件名安全
不要直接使用用户上传的原始文件名存储,避免路径遍历攻击和文件名冲突,建议使用随机生成的文件名:
<?php // 生成随机文件名,保留原始扩展名 $newFileName = md5(uniqid() . $fileName) . '.' . $ext; $targetPath = $uploadDir . $newFileName; // 确保存储目录不在web根目录下,或者设置目录不可执行脚本 // 如果必须在web目录下,需要配置服务器禁止该目录执行php脚本 ?>
3.4 其他安全注意事项
- 检查文件是否是真实的上传文件,使用
is_uploaded_file函数校验,避免伪造临时文件路径 - 限制上传目录的权限,不要给目录可执行的权限
- 可以对上传的图片文件进行二次渲染,避免图片中嵌入恶意代码
- 如果需要公开访问上传的文件,不要直接将存储路径返回给用户,建议使用代理访问或者生成临时访问链接
四、完整的多文件安全上传示例
整合上述所有逻辑,完整的多文件安全上传代码如下:
<?php
if (isset($_FILES['multi_files'])) {
$files = $_FILES['multi_files'];
$uploadDir = './uploads/';
// 允许的MIME类型和扩展名
$allowMime = ['image/jpeg', 'image/png', 'application/pdf'];
$allowExt = ['jpg', 'jpeg', 'png', 'pdf'];
$maxSize = 2 * 1024 * 1024; // 2MB
if (!is_dir($uploadDir)) {
mkdir($uploadDir, 0755, true);
}
$fileCount = count($files['name']);
for ($i = 0; $i < $fileCount; $i++) {
// 检查上传错误
if ($files['error'][$i] !== UPLOAD_ERR_OK) {
echo '文件' . $files['name'][$i] . '上传出错,错误码:' . $files['error'][$i] . '<br>';
continue;
}
$tmpName = $files['tmp_name'][$i];
$fileName = basename($files['name'][$i]);
$fileSize = $files['size'][$i];
// 检查是否是真实的上传文件
if (!is_uploaded_file($tmpName)) {
echo '文件' . $fileName . '不是合法的上传文件<br>';
continue;
}
// 校验文件大小
if ($fileSize > $maxSize) {
echo '文件' . $fileName . '大小超过限制<br>';
continue;
}
// 获取真实MIME类型
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $tmpName);
finfo_close($finfo);
// 获取扩展名
$ext = strtolower(pathinfo($fileName, PATHINFO_EXTENSION));
// 校验类型和扩展名
if (!in_array($mime, $allowMime) || !in_array($ext, $allowExt)) {
echo '文件' . $fileName . '类型不允许<br>';
continue;
}
// 生成安全文件名
$newFileName = md5(uniqid() . $fileName) . '.' . $ext;
$targetPath = $uploadDir . $newFileName;
// 移动文件
if (move_uploaded_file($tmpName, $targetPath)) {
echo '文件' . $fileName . '上传成功,存储名:' . $newFileName . '<br>';
} else {
echo '文件' . $fileName . '移动失败<br>';
}
}
}
?>
php文件上传多文件上传文件上传安全mime_type验证修改时间:2026-06-17 20:15:29