PHP文件上传实现指南：大小限制、类型校验与安全存储方案

文件上传是 PHP 开发中非常常见的功能，比如头像上传、图片投稿、附件提交、简历上传、后台资料导入等。它看起来只是接收一个文件，但实际上是安全风险比较高的入口。

一个可靠的 PHP 文件上传流程，不能只判断扩展名，还要限制大小、校验类型、生成安全文件名、控制存储目录，并避免用户上传的文件被当作脚本执行。本文从基础表单讲起，再整理一套更稳妥的上传处理方案。

表单配置

HTML 表单上传文件时，需要使用 method="post"，并设置 enctype="multipart/form-data"。否则后端可能无法正常接收文件。

<form action="upload.php" method="post" enctype="multipart/form-data">
  <input type="file" name="avatar">
  <button type="submit">上传</button>
</form>

前端可以通过 accept 提示用户选择图片或指定文件类型，但这只是体验优化，不能作为安全校验依据。

读取上传文件

PHP 上传文件后，可以通过 $_FILES 读取文件信息。

$file = $_FILES['avatar'] ?? null;

if (!$file) {
  exit('没有收到上传文件');
}

$_FILES 中包含文件名、临时路径、大小、错误码等信息。处理前要先检查上传是否成功。

检查错误码

上传失败时，PHP 会通过 error 字段给出错误码。只有 UPLOAD_ERR_OK 才表示上传成功。

if ($file['error'] !== UPLOAD_ERR_OK) {
  exit('文件上传失败');
}

实际项目中可以根据不同错误码给出更具体提示，比如文件超过限制、没有选择文件、临时目录异常等。

大小限制

文件大小限制要在多层处理。前端可以提示，PHP 代码要检查，服务器配置也要限制。

$maxSize = 2 * 1024 * 1024;

if ($file['size'] > $maxSize) {
  exit('文件不能超过 2MB');
}

PHP 配置里的 upload_max_filesize 和 post_max_size 也会影响上传上限。如果代码限制比服务器配置大，文件可能还没到业务代码就被拦截。

类型校验

不要只相信用户上传的文件扩展名，也不要只相信浏览器传来的 MIME 类型。更稳妥的方式是使用 finfo_file() 检查文件真实 MIME 类型。

$finfo = new finfo(FILEINFO_MIME_TYPE);
$mime = $finfo->file($file['tmp_name']);

$allowed = [
  'image/jpeg' => 'jpg',
  'image/png' => 'png',
  'image/webp' => 'webp'
];

if (!isset($allowed[$mime])) {
  exit('不支持的文件类型');
}

这样可以降低伪装扩展名带来的风险。比如把脚本文件改成 jpg 后缀，不能只靠后缀判断。

安全文件名

用户上传的原始文件名不能直接作为服务器存储文件名。它可能包含特殊字符、路径片段、重复名称或不安全内容。

$ext = $allowed[$mime];
$filename = bin2hex(random_bytes(16)) . '.' . $ext;

使用随机文件名可以避免覆盖已有文件，也能减少路径和字符问题。原始文件名如果需要保留，可以作为展示字段存入数据库。

保存目录

上传目录最好放在专门位置，并控制执行权限。对于用户上传文件，尤其不要让 PHP 脚本在上传目录中执行。

$uploadDir = __DIR__ . '/uploads/';
$target = $uploadDir . $filename;

如果业务允许，上传文件可以放到非 Web 可执行目录，再通过受控接口读取。公开访问的图片目录也要禁止脚本执行。

移动文件

上传成功后，临时文件需要通过 move_uploaded_file() 移动到目标位置。

if (!move_uploaded_file($file['tmp_name'], $target)) {
  exit('保存文件失败');
}

不要用普通复制函数替代它。move_uploaded_file() 会确认文件确实是通过 HTTP POST 上传的。

图片额外检查

如果只允许上传图片，可以进一步使用图片处理函数检查尺寸，必要时重新压缩或转存。这样可以降低异常图片和超大图片带来的风险。

$info = getimagesize($file['tmp_name']);
if ($info === false) {
  exit('不是有效图片');
}

对于头像、封面等场景，还可以限制图片宽高，避免用户上传超大分辨率图片影响存储和加载。

数据库记录

文件保存后，通常需要把文件路径、大小、类型、上传用户、上传时间等信息写入数据库。

数据库里建议保存相对路径或文件标识，不要把服务器绝对路径直接暴露给前端。展示时由程序拼接可访问地址。

返回结果

如果是 Ajax 上传，后端可以返回 JSON，告诉前端上传是否成功，以及文件访问地址或错误信息。

header('Content-Type: application/json; charset=utf-8');
echo json_encode([
  'success' => true,
  'url' => '/uploads/' . $filename
], JSON_UNESCAPED_UNICODE);

错误信息要清楚，但不要泄露服务器内部路径、配置和堆栈信息。

常见错误

第一种错误是只判断扩展名。第二种错误是直接使用原始文件名保存。第三种错误是把上传目录设置成可执行脚本。第四种错误是不限制大小，导致磁盘被打满。第五种错误是把服务器真实路径返回给前端。

实践建议

一个安全的 PHP 文件上传流程应该包括：检查上传错误码、限制大小、使用 finfo_file() 校验类型、生成随机文件名、保存到受控目录、禁止脚本执行、必要时检查图片尺寸、记录数据库、返回清晰结果。

文件上传是高风险功能，不要只做“能上传”。真正可靠的上传功能，必须把安全校验、存储策略和错误处理一起设计。