php中如何实现文件上传 php文件上传功能完整代码示例-php教程-PHP中文网

php中如何实现文件上传 php文件上传功能完整代码示例

裘德小鎮的故事

发布： 2025-08-29 09:19:01

原创

883人浏览过

答案：PHP文件上传需配置表单enctype、调整php.ini中upload_max_filesize、post_max_size等参数，通过PHP脚本处理文件并验证类型、大小、名称，生成唯一文件名存入安全目录，防止覆盖与执行，显示时通过安全脚本读取并输出文件内容，防范XSS与CSRF攻击。

php中如何实现文件上传 php文件上传功能完整代码示例

直接说吧，PHP实现文件上传，核心在于HTML表单设置、PHP配置调整以及服务端脚本处理。看似简单，实则坑不少，比如文件大小限制、类型验证、安全漏洞等等。

文件上传功能完整代码示例

<?php
// 错误处理函数
function handle_upload_error($error_code) {
    $messages = [
        UPLOAD_ERR_OK         => '文件上传成功',
        UPLOAD_ERR_INI_SIZE   => '上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值',
        UPLOAD_ERR_FORM_SIZE  => '上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值',
        UPLOAD_ERR_PARTIAL    => '文件只有部分被上传',
        UPLOAD_ERR_NO_FILE      => '没有文件被上传',
        UPLOAD_ERR_NO_TMP_DIR   => '找不到临时文件夹',
        UPLOAD_ERR_CANT_WRITE   => '文件写入失败',
        UPLOAD_ERR_EXTENSION    => '由于 PHP 扩展程序中断了文件上传'
    ];
    return isset($messages[$error_code]) ? $messages[$error_code] : '未知上传错误';
}

// 文件上传处理脚本
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // 检查是否有文件上传
    if (isset($_FILES["uploadedFile"]) && $_FILES["uploadedFile"]["error"] == UPLOAD_ERR_OK) {

        $file_name = $_FILES["uploadedFile"]["name"];
        $file_tmp_name = $_FILES["uploadedFile"]["tmp_name"];
        $file_size = $_FILES["uploadedFile"]["size"];
        $file_type = $_FILES["uploadedFile"]["type"];

        // 文件类型验证（白名单）
        $allowed_types = ['image/jpeg', 'image/png', 'image/gif'];
        if (!in_array($file_type, $allowed_types)) {
            die("错误：不允许的文件类型。");
        }

        // 文件大小限制（单位：字节）
        $max_file_size = 204800; // 200KB
        if ($file_size > $max_file_size) {
            die("错误：文件大小超过限制。");
        }

        // 目标目录（确保目录存在且可写）
        $upload_dir = "uploads/";
        if (!is_dir($upload_dir)) {
            mkdir($upload_dir, 0777, true); // 创建目录，权限根据实际情况调整
        }

        // 生成唯一文件名，避免覆盖
        $new_file_name = uniqid() . "_" . $file_name;
        $destination = $upload_dir . $new_file_name;

        // 移动上传的文件到目标目录
        if (move_uploaded_file($file_tmp_name, $destination)) {
            echo "文件上传成功！ 存储在: " . $destination;
        } else {
            echo "文件上传失败。";
        }

    } else {
        // 处理上传错误
        $error_code = isset($_FILES["uploadedFile"]["error"]) ? $_FILES["uploadedFile"]["error"] : UPLOAD_ERR_NO_FILE;
        echo "上传错误： " . handle_upload_error($error_code);
    }
}
?>

<!DOCTYPE html>
<html>
<head>
    <title>文件上传示例</title>
</head>
<body>

    <form action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]); ?>" method="post" enctype="multipart/form-data">
        选择要上传的文件:
        <input type="file" name="uploadedFile" id="uploadedFile">
        <input type="submit" value="上传文件" name="submit">
    </form>

</body>
</html>

登录后复制

如何配置php.ini以支持大文件上传？

首先，找到你的

php.ini

登录后复制

文件。通常在PHP安装目录下的

php.ini-development

登录后复制

或者

php.ini-production

登录后复制

，根据你的环境选择一个，然后复制一份并重命名为

php.ini

登录后复制

。

立即学习“PHP免费学习笔记（深入）”；

然后，编辑

php.ini

登录后复制

，找到以下几个配置项：

```
upload_max_filesize
```
登录后复制
：这个选项控制上传文件的最大大小。默认值通常是2M或者8M，你需要根据实际需求调整。比如，你要允许上传50M的文件，就设置为
```
upload_max_filesize = 50M
```
登录后复制
。
```
post_max_size
```
登录后复制
：这个选项控制POST请求的最大大小，包括上传的文件和其他POST数据。必须大于或等于
```
upload_max_filesize
```
登录后复制
。如果
```
upload_max_filesize
```
登录后复制
是50M，那么
```
post_max_size
```
登录后复制
至少也要是50M，最好稍微大一点，比如
```
post_max_size = 60M
```
登录后复制
。
```
memory_limit
```
登录后复制
：这个选项控制PHP脚本可以使用的最大内存。上传大文件时，PHP需要更多的内存来处理。建议设置为大于
```
post_max_size
```
登录后复制
，比如
```
memory_limit = 128M
```
登录后复制
或者更高。
```
max_execution_time
```
登录后复制
：这个选项控制PHP脚本的最大执行时间，单位是秒。上传大文件可能需要更长的时间。可以适当增加，比如
```
max_execution_time = 300
```
登录后复制
（5分钟）。
```
max_input_time
```
登录后复制
：这个选项控制PHP脚本接收输入数据的最大时间，包括上传文件。也需要适当增加，比如
```
max_input_time = 300
```
登录后复制
。

修改完成后，保存

php.ini

登录后复制

文件，然后重启你的Web服务器（比如Apache或者Nginx）或者PHP-FPM，使配置生效。

PHP文件上传的安全问题有哪些？如何防范？

安全问题简直是重中之重。

码上飞

码上飞（CodeFlying）是一款AI自动化开发平台，通过自然语言描述即可自动生成完整应用程序。

138

查看详情

文件类型验证：别完全信任客户端传来的
```
$_FILES["uploadedFile"]["type"]
```
登录后复制
，这玩意儿可以伪造。服务端必须进行严格的类型验证，只允许上传指定类型的文件，例如图片、文档等。使用白名单机制，只允许特定后缀的文件，比如
```
.jpg
```
登录后复制
,
```
.png
```
登录后复制
,
```
.pdf
```
登录后复制
。更靠谱的做法是读取文件头信息，判断真实的文件类型。
文件大小限制：在
```
php.ini
```
登录后复制
中设置
```
upload_max_filesize
```
登录后复制
和
```
post_max_size
```
登录后复制
，同时在PHP脚本中也进行大小限制，双重保险。防止上传过大的文件导致服务器资源耗尽。
文件名安全：上传的文件名可能包含恶意代码，比如
```
.php
```
登录后复制
后缀的文件。要对文件名进行过滤，移除特殊字符，防止脚本注入。最好是生成唯一的文件名，比如使用
```
uniqid()
```
登录后复制
函数，避免文件名冲突，也增加了安全性。
上传目录安全：上传目录必须设置合适的权限，禁止执行脚本。比如，使用
```
.htaccess
```
登录后复制
文件禁止PHP脚本在该目录下执行。同时，上传目录最好放在Web服务器无法直接访问的目录，通过PHP脚本进行访问。
防止文件覆盖：生成唯一文件名，避免覆盖已有的文件。可以使用
```
uniqid()
```
登录后复制
函数或者
```
time()
```
登录后复制
函数生成唯一的文件名。
XSS攻击：如果上传的文件内容包含HTML代码，可能会导致XSS攻击。对上传的文件内容进行过滤，移除恶意代码。
CSRF攻击：如果上传功能没有进行CSRF防护，可能会被恶意利用。添加CSRF token，防止跨站请求伪造攻击。

如何显示上传的文件？

显示上传的文件，这又涉及到存储路径和访问权限的问题。

确定存储路径：首先，你需要知道文件存储在服务器上的哪个目录。这通常是在你的PHP上传脚本中定义的
```
$upload_dir
```
登录后复制
变量。确保这个目录是Web服务器可以访问的，但最好不要直接暴露给用户。
创建访问链接：你需要创建一个URL，用户可以通过这个URL访问上传的文件。这个URL通常指向一个PHP脚本，该脚本负责读取文件并将其发送给浏览器。
编写PHP脚本：创建一个PHP脚本（例如
```
get_image.php
```
登录后复制
），该脚本接收文件名的参数，然后读取文件并将其发送给浏览器。

<?php
// get_image.php

$upload_dir = "uploads/"; // 你的上传目录
$filename = $_GET['filename']; // 从URL获取文件名

// 安全检查：验证文件名是否合法，防止目录遍历攻击
$safe_filename = basename($filename); // 移除路径信息，只保留文件名
$filepath = $upload_dir . $safe_filename;

if (file_exists($filepath)) {
    // 设置Content-Type，根据文件类型设置
    $file_extension = strtolower(pathinfo($filepath, PATHINFO_EXTENSION));
    switch ($file_extension) {
        case "jpg":
        case "jpeg":
            header('Content-Type: image/jpeg');
            break;
        case "png":
            header('Content-Type: image/png');
            break;
        case "gif":
            header('Content-Type: image/gif');
            break;
        default:
            header('Content-Type: application/octet-stream'); // 未知类型，强制下载
            break;
    }

    // 读取文件并输出
    readfile($filepath);
} else {
    // 文件不存在，显示错误信息
    header('HTTP/1.0 404 Not Found');
    echo "文件不存在";
}
?>

登录后复制

HTML中显示图片：在你的HTML代码中，使用
```
<img>
```
登录后复制
标签来显示图片。

<img src="get_image.php?filename=<?php echo $filename; ?>" alt="Uploaded Image">

登录后复制

其中

$filename

登录后复制

是上传文件的文件名，你需要将其替换为实际的文件名。

安全性考虑：
```
get_image.php
```
登录后复制
脚本需要进行安全检查，防止用户通过URL参数访问任意文件。可以使用
```
basename()
```
登录后复制
函数移除路径信息，只保留文件名。还可以使用白名单机制，只允许访问指定目录下的文件。

这样，你就可以在网页上显示上传的文件了。记住，安全性是第一位的！

以上就是php中如何实现文件上传 php文件上传功能完整代码示例的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

php怎么用var_PHP变量（var）声明与作用域使用方法 php怎么调试接口容器化部署_php接口docker容器部署与调试方法 php项目怎么部署到apachetomcat_php项目apache与tomcat集成部署与配置教程 php程序怎么部署到虚拟主机_php程序虚拟主机部署步骤与常见问题解决方法如何配置Red Hat 8上的PHP与Memcached的详细步骤？