PHP文件上传依赖$_FILES数组与三个核心函数协同完成:move_uploaded_file()(唯一安全移动函数)、检查$_FILES’x’(权威错误码)和is_uploaded_file()(上传来源二次验证),缺一不可。
PHP 文件上传不靠单个函数,而是靠 $_FILES 超全局数组 + 一组配套函数协同完成。核心函数只有 3 个,但漏掉任意一个都可能导致上传失败、文件丢失或安全漏洞。
处理上传临时文件必须用 move_uploaded_file()
这是唯一被 PHP 官方明确推荐用于移动上传文件的函数。它会校验 $_FILES['xxx']['tmp_name'] 是否真是通过 HTTP POST 上传的临时文件,防止路径遍历或伪造文件攻击。
- 不能用
copy()或rename()替代 —— 它们不校验上传来源,存在严重安全隐患 - 目标路径必须是绝对路径或相对于当前脚本的可写目录,且目录需提前
mkdir()创建并设好权限(如 0755) - 返回
true表示成功,false说明失败(常见原因:目标目录不可写、磁盘满、SELinux 限制)
if (move_uploaded_file($_FILES['avatar']['tmp_name'], '/var/www/uploads/avatar.jpg')) {
echo '上传成功';
} else {
error_log('move_uploaded_file 失败:' . print_r($_FILES['avatar'], true));
}
判断上传是否出错得看 $_FILES['field']['error'] 值
这个整型值才是上传状态的唯一权威依据,不是检查 tmp_name 是否为空,也不是靠 is_uploaded_file() 掩盖问题。
-
0:上传成功 -
1或2:超出了php.ini中的upload_max_filesize或MAX_FILE_SIZE隐藏字段限制 -
3:文件只有部分被上传(网络中断等) -
4:没有文件被上传(表单空提交) -
6–8:临时目录缺失、PHP 扩展未启用、未知错误
务必在调用 move_uploaded_file() 前检查该值,否则可能把错误状态的空临时文件“移动”过去。
立即学习“PHP免费学习笔记(深入)”;
验证上传来源必须用 is_uploaded_file()
它和 move_uploaded_file() 内部使用同一套校验逻辑,用于在移动前做二次确认(尤其在调试或日志中)。
- 仅对
$_FILES['x']['tmp_name']有效,对普通文件路径返回false - 不是必须调用,但加上能避免因开发误传路径导致的静默失败
- 不能替代
$_FILES['x']['error'] === 0的判断 —— 错误码为非零时,即使is_uploaded_file()返回true也不代表可用
if ($_FILES['photo']['error'] === 0 && is_uploaded_file($_FILES['photo']['tmp_name'])) {
// 安全地处理上传
}
真正容易被忽略的是:上传功能依赖 php.ini 里至少 4 项配置生效(file_uploads、upload_max_filesize、post_max_size、max_execution_time),而这些不会在函数报错信息里直接提示。上线前务必用 phpinfo() 或 ini_get() 核对。