通八洲科技

NEWS CENTER 新闻中心

php文件怎么上传_处理多文件上传的完整流程与验证【详解】

日期:2025-12-31 00:00 / 作者:星夢妙者
上一篇 下一篇
PHP多文件上传时$_FILES结构是二维关联数组,需按索引重组为单文件列表,并逐个验证is_uploaded_file、扩展名白名单、图片真实性、大小及重命名安全性。

PHP 多文件上传的 $_FILES 结构必须先看懂

PHP 不会自动把多个同名 的文件合并成一个数组——它生成的是一个**二维关联数组**,结构固定。如果没意识到这点,foreach($_FILES['files'] as $file) 会直接遍历字段名(nametmp_name 等),而不是单个文件,这是最常踩的坑。

正确结构示例(3 个文件):

$_FILES['files'] = [
    'name'     => ['a.jpg', 'b.pdf', 'c.txt'],
    'tmp_name' => ['/tmp/phpabc123', '/tmp/phpdef456', '/tmp/phpghi789'],
    'size'     => [10240, 204800, 512],
    'error'    => [0, 0, 0],
    'type'     => ['image/jpeg', 'application/pdf', 'text/plain']
];

所以要按索引重组为文件列表:

$files = [];
for ($i = 0; $i < count($_FILES['files']['name']); $i++) {
    if ($_FILES['files']['error'][$i] === UPLOAD_ERR_OK) {
        $files[] = [
            'name'     => $_FILES['files']['name'][$i],
            'tmp_name' => $_FILES['files']['tmp_name'][$i],
            'size'     => $_FILES['files']['size'][$i],
            'type'     => $_FILES['files']['type'][$i],
            'error'    => $_FILES['files']['error'][$i]
        ];
    }
}

move_uploaded_file() 移动前必须逐个验证

不能只检查 error === 0 就直接移动——攻击者可伪造 $_FILES 或绕过前端限制。每个文件都需独立验证:

前端
和 PHP 配置容易漏掉的关键项

多文件上传失败,80% 出在配置没调对,不是代码问题:

建议在上传前加服务端兜底检测:

if (ini_get('max_file_uploads') < count($_FILES['files']['name'])) {
    die('超出服务器允许的最大上传数');
}

重命名文件时别用原始 $_FILES['name'] 直接拼路径

原始文件名可能含 ../、空字节、控制字符或超长路径,直接拼接会导致目录穿越或写入失败。安全做法:

错误示范:$dest = 'uploads/' . $_FILES['files']['name'][$i];
正确示范:

$ext = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
$safe_name = preg_replace('/[^a-zA-Z0-9_\-.]/', '', basename($file['name']));
$new_name = uniqid('up_') . '.' . ($ext ?: 'bin');
$dest = '/var/www/uploads/' . $new_name;

上传完成后记得 chmod 644 $dest(如果需要 Web 可读但不可执行)。