PHP限制文件类型上传教程

PHP文件上传安全绝非仅靠检查$_FILES['type']或文件后缀就能保障，真正可靠的做法是结合finfo_open(FILEINFO_MIME_TYPE)精准识别文件真实MIME类型，并与严格定义的后缀白名单进行双向校验，同时彻底禁用上传目录的脚本执行权限——从内容探测、命名控制到服务器配置，缺一不可，否则攻击者轻而易举就能绕过校验，上传恶意PHP木马或复合型危险文件。

PHP 用 $_FILES['xxx']['type'] 判断文件类型根本不可靠

浏览器传来的 $_FILES['xxx']['type'] 是客户端自己填的 MIME 类型，随便改个请求头就能伪造，比如把 .php 文件改成 image/jpeg 就能绕过。它只适合做前端预检或日志记录，**绝不能用于安全校验**。

真正要拦住危险文件，得看文件“实际内容”而不是“声称内容”。常见错误是只检查 $_FILES['xxx']['type'] 或后缀名，结果上传了带木马的 .jpg.php 或直接是 .phar 文件。

• 永远配合 finfo_open() 做 MIME 探测（基于二进制头）
• 后缀名必须白名单校验，且和探测出的 MIME 类型双向匹配（比如 image/png 对应 .png，不接受 .jpg）
• 上传目录禁止执行 PHP：Web 服务器配置里关掉 php_flag engine off 或用 deny all 配置

用 finfo_open() 检查真实 MIME 类型最稳妥

finfo_open() 是 PHP 内置函数，底层调用 libmagic，读取文件前几百字节判断类型，比扩展名和 $_FILES['type'] 可靠得多。注意别漏掉 FILEINFO_MIME_TYPE 参数，否则返回完整 MIME 字符串（含编码），不好比对。

典型误用：finfo_file($finfo, $_FILES['file']['tmp_name']) 返回 text/plain; charset=us-ascii —— 这种带分号的值直接 === 匹配会失败。

• 用 finfo_open(FILEINFO_MIME_TYPE)，确保只返回类似 image/jpeg 的纯类型字符串
• 检查前确认 $_FILES['file']['error'] === UPLOAD_ERR_OK，否则 tmp_name 可能为空
• Windows 下若提示 Failed to load magic database，需在 php.ini 设置 mime_magic.magicfile = "C:/php/magic.mime"

$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $_FILES['avatar']['tmp_name']);
finfo_close($finfo);
if ($mimeType !== 'image/jpeg' && $mimeType !== 'image/png') {
    die('不支持的图片格式');
}

后缀名白名单 + MIME 双校验才防得住绕过

光靠 MIME 探测还不够。攻击者可以构造“合法头+恶意内容”的文件（比如 PNG 头后面拼一段 PHP 代码），如果服务器又恰好配置成允许 .png 执行 PHP，就中招了。所以必须限制后缀，并且确保后缀和 MIME 类型一致。

常见坑：用 pathinfo($_FILES['f']['name'], PATHINFO_EXTENSION) 获取后缀，但用户传 shell.php.jpg 时会得到 jpg，而 $_FILES['f']['type'] 又是伪造的 image/jpeg，表面看完全匹配——其实文件是 PHP。

• 后缀必须从原始 $_FILES['xxx']['name'] 提取，且只取最后一个点之后的部分（strrchr() 比 pathinfo() 更防伪）
• 定义严格白名单数组：['jpg' => 'image/jpeg', 'png' => 'image/png']，然后双向验证
• 重命名文件时用独立生成的随机名（如 uniqid() . '.png'），彻底丢弃用户传的文件名

上传后立刻移动 + 禁止解析才是最后一道门

很多开发者以为校验完就安全了，结果把文件直接存到 Web 可访问目录（比如 /uploads/），又没关执行权限，等于给黑客铺好路。PHP 上传漏洞的高发场景，90% 出在这里。

典型错误：上传成功后用 move_uploaded_file() 移到 ./uploads/，但 Apache/Nginx 默认会对该目录下所有 .php、.phtml、.phar 执行解析。

• 上传目录不要放在 Web 根目录下；如果必须放，用 Nginx 的 location ~ \.php$ { deny all; } 或 Apache 的 Require denied
• move_uploaded_file() 必须指定绝对路径，相对路径在某些 SAPI（如 CLI）下行为异常
• 上传完成后，用 chmod($dest, 0644) 显式去掉执行位（尤其在共享主机上）

文件类型校验不是“检查一次就完事”，而是从接收、解析、存储到服务的全链路控制。最容易被跳过的环节，往往藏在上传后的目录权限和 Web 服务器配置里。

本篇关于《PHP限制文件类型上传教程》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！