PHP上传文件并验证类型大小详解

本文深入解析了PHP文件上传过程中最易踩坑的核心环节：从$_FILES数组为空的多种隐蔽原因（如表单缺少enctype、AJAX配置失误、php.ini限制过严或file_uploads关闭），到彻底摒弃不可信的浏览器MIME类型、转而用finfo_open()读取文件头进行真实类型校验；既强调upload_max_filesize与post_max_size的协同配置和单位陷阱，也指出前端大小限制形同虚设、必须依赖服务端双重校验；还揭秘move_uploaded_file()失败的常见“静默陷阱”，如相对路径误用、目录权限不足、临时文件被提前清理等。全文直击生产环境高频故障点，提供可落地的诊断流程（打印$_FILES、error_get_last()、phpinfo()）和安全实践（白名单验证、绝对路径拼接、is_writable检查），助你避开测试正常、上线崩盘的致命盲区。

PHP上传文件时$_FILES数组为什么总是空

常见错误是表单没加 enctype="multipart/form-data"，或者用 AJAX 发送时没设 FormData 或漏了 processData: false 和 contentType: false。另外，post_max_size 和 upload_max_filesize 这两个 php.ini 配置项如果太小，也会导致整个 $_FILES 为空，而不是报错——这点特别容易被忽略。

检查方法：打印 $_FILES 和 error_get_last()，再用 phpinfo() 确认实际生效的配置值。

• 表单必须写：
• php.ini 中 file_uploads = On 必须开启
• upload_max_filesize 要 ≥ 单个文件预期大小，post_max_size 要 ≥ 所有字段总大小（含文件+文本）

怎么安全地验证上传文件的真实类型

别信 $_FILES['file']['type']，它只是浏览器传来的 MIME 字符串，可以任意伪造。真正可靠的方式是读取文件头（magic bytes），用 finfo_open() 检查。

比如用户上传一个 .jpg 文件，但把后缀改成 .php 并塞进 PHP 代码，仅靠扩展名或 type 字段完全拦不住。

• 用 finfo_open(FILEINFO_MIME_TYPE) 获取真实 MIME 类型
• 白名单比黑名单更安全，例如只允许 image/jpeg、image/png，不接受 application/octet-stream
• 注意 finfo 在某些共享主机上可能被禁用，需提前检查 extension_loaded('fileinfo')

if (function_exists('finfo_open')) {
    $finfo = finfo_open(FILEINFO_MIME_TYPE);
    $realType = finfo_file($finfo, $_FILES['file']['tmp_name']);
    finfo_close($finfo);
    if (!in_array($realType, ['image/jpeg', 'image/png'])) {
        die('不支持的文件类型');
    }
}

限制上传文件大小的两种时机和区别

前端 无效，HTML 标准根本不支持这个属性；JS 的 file.size 只能做友好提示，不能替代服务端校验。真正起作用的是 PHP 层面的两次判断：一次在接收前（php.ini 级别），一次在业务逻辑里（$_FILES['file']['size']）。

• php.ini 的 upload_max_filesize 是硬限制，超了直接进 $_FILES['file']['error'] === UPLOAD_ERR_INI_SIZE
• 业务中还要自己检查 $_FILES['file']['size'] > 2 * 1024 * 1024，因为用户可能绕过前端，拼接 POST 请求发大文件
• 注意单位：php.ini 里写 2M 表示 2 MiB（1024×1024），不是 MB（1000×1000）

move_uploaded_file() 失败的常见原因

最常踩的坑是目标目录不存在、无写入权限，或路径用了相对路径却没搞清当前工作目录（getcwd() 不一定等于脚本所在目录）。另一个隐蔽问题是临时文件已被其他逻辑清理掉——比如用了某些框架的自动清理钩子，或同一请求中多次调用 move_uploaded_file()。

• 目标路径必须是绝对路径，推荐用 __DIR__ . '/uploads/' 拼接
• 确保目录存在且权限正确：is_writable() 要返回 true，Linux 下通常是 chmod 755 或 775
• 检查 $_FILES['file']['error'] === UPLOAD_ERR_OK 再调用 move_uploaded_file()，否则会静默失败
• 不要用 copy() 替代，它不处理临时文件生命周期，也不校验上传状态

文件类型验证和大小限制必须同时落在服务端，前端只是体验优化。临时文件路径、真实 MIME 判断、目录权限这三处最容易在测试环境没问题、上线后突然失效。

到这里，我们也就讲完了《PHP上传文件并验证类型大小详解》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！