PHP文件上传函数教程，让你的网站可以轻松实现文件上传功能

File uploading is a common feature in many web applications such as online file sharing, photo galleries, and content management systems just to name a few. PHP provides an easy way to implement file uploading through several built-in functions.

In this tutorial, I’ll walk you through the process of uploading files using PHP. We will discuss the basic concepts and terminology, demonstrate how to upload files to a server both with and without validation, and provide some security considerations. Let’s get started!

基本概念

Before we start coding, let’s go over some key concepts and terminology related to file uploading.

Form: In HTML, a form is an element that contains elements for input. A typical form has a set of fields (usually input fields) that a user can fill out and submit to a server.

Input element: An element within a form that allows users to input data. Most commonly used input elements are text, password, checkbox, radio, and file.

Form data: All the data that is submitted from a form to a server is called form data. This data can include text, numbers, dates, and files.

File: In computing, a file is a unit of data that is stored as a single entity. Files can contain text, images, video, and other types of data.

Validation: A process of ensuring that input data meets specific requirements or constraints. For example, validating a phone number to ensure it has exactly 10 digits and consists only of numbers.

Now that we’re familiar with some basic concepts related to file uploading, let's dive into the main topic: implementing file uploading in PHP.

上传文件

To upload a file from a web form, we need to create a file input element within a form and specify the form's enctype attribute to "multipart/form-data." This tells the server that we're sending binary data (a file) with the form, not just plain text. For example:

<form method="post" enctype="multipart/form-data">
  <input type="file" name="fileToUpload" id="fileToUpload">
  <input type="submit" value="Upload File" name="submit">
</form>

This code creates a form that has a file input element and a submit button. When the submit button is clicked, the browser sends the form data to the server along with the selected file.

接下来，我们需要一个PHP脚本来接收并处理上传的文件。PHP提供了三个关键函数来处理文件上传操作：$_FILES，move_uploaded_file()和is_uploaded_file()。

$_FILES是一个全局变量，其中包含上传文件的信息。它有以下几个关键字段：

- name: 上传文件的原始文件名。

- tmp_name: 上传文件的临时文件名（上传文件后，服务器将保存一个临时文件，我们可以使用此名称访问该文件）。

- size: 上传文件的大小（以字节为单位）。

- type: 上传文件的MIME类型。

- error: 上传文件期间发生的错误代码。

我们可以使用move_uploaded_file()函数来将上传的文件从临时位置移动到我们想要的位置。这个函数需要两个参数：$source和$destination。其中，$source参数是上传文件的临时文件名，$destination参数是我们想要将文件移动到的目标文件路径。

下面是一个简单的PHP脚本，用于上传文件并从临时位置将其移动到服务器上指定的目录：

<?php
$target_dir = "uploads/";
$target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
$uploadOk = 1;

// Check if file already exists
if (file_exists($target_file)) {
  echo "Sorry, file already exists.";
  $uploadOk = 0;
}

// Check file size
if ($_FILES["fileToUpload"]["size"] > 500000) {
  echo "Sorry, your file is too large.";
  $uploadOk = 0;
}

// Check file type
if ($_FILES["fileToUpload"]["type"] != "image/jpeg" && $_FILES["fileToUpload"]["type"] != "image/png") {
  echo "Sorry, only JPG, JPEG, and PNG files are allowed.";
  $uploadOk = 0;
}

// Check if $uploadOk is set to 0 by an error
if ($uploadOk == 0) {
  echo "Sorry, your file was not uploaded.";
  // if everything is ok, try to upload file
} else {
  if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
    echo "The file ". basename($_FILES["fileToUpload"]["name"]). " has been uploaded.";
  } else {
    echo "Sorry, there was an error uploading your file.";
  }
}
?>

上面的脚本执行了以下操作：

- 指定上传文件的目标目录为"uploads/"。

- 拼接目标路径和上传文件的原始名称以创建一个唯一的目标文件名。

- 检查上传的文件是否已经存在目标目录中。如果是，我们会在页面上显示一条错误消息，并设置$uploadOk变量为0。

- 检查上传文件的大小是否超过500KB。如果是，我们会在页面上显示一条错误消息，并设置$uploadOk变量为0。

- 检查上传文件的MIME类型是否为支持的类型。如果不是，我们将在页面上显示一条错误消息，并将$uploadOk变量设置为0。

- 如果$uploadOk变量设置为0，我们将在页面上显示一条上传失败消息。否则，我们将使用move_uploaded_file()函数将上传文件从临时位置移动到目标位置，并显示一条成功消息。

有了这些基本概念和代码，我们现在可以轻松地实现文件上传功能了。但是，在实现文件上传功能时，我们还需要考虑一些安全问题。

安全考虑

File uploading is a potential security threat because malicious files can be uploaded to the server and then executed. Therefore, it's important to implement certain security measures to avoid this risk.

以下是一些重要的安全措施，应该与文件上传一起使用：

- 限制上传文件大小和类型

- 移动上传的文件到非web根目录下

- 给上传文件重新命名，以避免文件名中包含特殊字符和空格

- 检查上传的文件是否包含恶意代码（例如，使用文件扩展名的检查）

在上面的示例中，我们已经限制了上传文件的大小和类型。还有一些其他措施可以实现。

1. 移动上传的文件到非web根目录下

在上面的示例中，我们将上传文件移动到了我们的web根目录下的"uploads/"目录中。这是一种不安全的做法，因为上传的文件可以直接通过web访问。黑客可以利用这个漏洞上传恶意文件并执行它们。

为了避免这个问题，我们应该把上传文件移动到非web根目录下。这可以通过使用服务器的文件系统路径来实现，而不是web路径。

2. 给上传文件重新命名

在上面的示例中，我们根据上传文件的原始名称创建了目标文件名。这样做有一个问题，那就是原始文件名可能包含各种特殊字符和空格，这可能导致服务器上的错误或漏洞。

为了避免这个问题，我们应该给上传的文件重新命名。例如，我们可以将上传文件的名称设置为当前时间戳加上一个随机字符串，这样就可以避免冲突并确保文件名安全。

3. 检查上传的文件是否包含恶意代码

上传的文件可能包含恶意代码，例如恶意脚本或病毒。这可以通过检查上传文件的扩展名或使用文件类型检查器来检测。这可以防止上传有恶意代码的文件并避免对网站造成损害。