首先创建含enctype的html表单,再通过php接收文件并检查大小、类型、真实性,重命名后移动至安全目录,防止恶意上传。
实现文件上传功能时,不仅要考虑基本的上传流程,还要重视安全验证,防止恶意文件上传。下面介绍如何用PHP完成文件上传,并加入必要的安全检查。
1. 创建HTML上传表单
前端需要一个表单,设置正确的编码类型 enctype=”multipart/form-data”,才能提交文件数据:
zuojiankuohaophpcnform action=”upload.php” method=”post” enctype=”multipart/form-data”>
<input type=”file” name=”uploadFile” required>
<button type=”submit”>上传文件</button>
</form>
2. PHP处理上传文件
在 upload.php 中接收并处理上传的文件。使用 $_FILES 超全局数组获取上传信息:
$targetDir = “uploads/”;
$targetFile = $targetDir . basename($_FILES[“uploadFile”][“name”]);
$uploadOk = 1;
$imageFileType = strtolower(pathinfo($targetFile, PATHINFO_EXTENSION));
// 检查是否是真实图片(如果是图片上传)
if (isset($_POST[“submit”])) {
$check = getimagesize($_FILES[“uploadFile”][“tmp_name”]);
if ($check !== false) {
echo “文件是图片 – ” . $check[“mime”] . “.”;
} else {
echo “文件不是有效图片。”;
$uploadOk = 0;
}
}
3. 安全验证措施
为防止攻击,必须对上传文件进行多重验证:
立即学习“PHP免费学习笔记(深入)”;
- 限制文件大小:通过 PHP 配置或代码判断。例如,限制为 2MB:
- 验证文件类型:不要只依赖扩展名,应结合 MIME 类型和文件头检测:
- 重命名文件:避免覆盖或执行恶意脚本:
- 禁止执行脚本:将上传目录置于 Web 根目录之外,或在该目录的 .htaccess 中禁用脚本执行:
if ($_FILES[“uploadFile”][“size”] > 2097152) {
echo “文件太大。”;
$uploadOk = 0;
}
$allowedTypes = Array(“jpg”, “jpeg”, “png”, “gif”);
if (!in_array($imageFileType, $allowedTypes)) {
echo “只允许 JPG、JPEG、PNG 和 GIF 文件。”;
$uploadOk = 0;
}
$newFileName = uniqid() . ‘.’ . $imageFileType;
$targetFile = $targetDir . $newFileName;
php_flag engine off
Options -ExecCGI
RemoveHandler .php .phtml .pl .py .jsp
4. 移动文件并完成上传
所有检查通过后,使用 move_uploaded_file() 将临时文件移动到目标位置:
if ($uploadOk == 1) {
if (move_uploaded_file($_FILES[“uploadFile”][“tmp_name”], $targetFile)) {
echo “文件 “. htmlspecialchars(basename($_FILES[“uploadFile”][“name”])) . ” 上传成功。”;
} else {
echo “上传失败,请重试。”;
}
}
基本上就这些。只要做好类型检查、大小限制、路径安全和文件重命名,就能有效防止大多数上传漏洞。不复杂但容易忽略细节。
以上就是PHP代码怎么实现文件上传功能_PHP文件上传处理与安全验证方法的详细内容,更多请关注