php如何获取文件扩展名？php获取文件名后缀的技巧

最直接且推荐的方式是使用pathinfo()函数配合PATHINFO_EXTENSION常量获取文件扩展名，该方法能正确处理各种路径情况并返回小写扩展名，而手动字符串操作需额外处理边缘情况；常见陷阱包括无扩展名、多点分隔、隐藏文件及大小写问题；不应仅依赖扩展名判断文件类型，因易被伪造，应结合MIME类型验证；PHP还提供basename、dirname、realpath等实用文件处理函数。

PHP中获取文件扩展名，最直接且推荐的方式是使用

pathinfo()

PATHINFO_EXTENSION

strrpos()

substr()

解决方案

在PHP里，要获取一个文件的扩展名，我们通常会用到

pathinfo()

最常见的用法是这样：

<?php
$filename1 = "document.pdf";
$filename2 = "archive.tar.gz";
$filename3 = "image.jpeg";
$filename4 = "noextensionfile";
$filename5 = ".htaccess"; // 隐藏文件，但对pathinfo来说，htaccess就是扩展名

echo "文件: " . $filename1 . "，扩展名: " . pathinfo($filename1, PATHINFO_EXTENSION) . "\n";
// 输出: 文件: document.pdf，扩展名: pdf

echo "文件: " . $filename2 . "，扩展名: " . pathinfo($filename2, PATHINFO_EXTENSION) . "\n";
// 输出: 文件: archive.tar.gz，扩展名: gz

echo "文件: " . $filename3 . "，扩展名: " . pathinfo($filename3, PATHINFO_EXTENSION) . "\n";
// 输出: 文件: image.jpeg，扩展名: jpeg

echo "文件: " . $filename4 . "，扩展名: " . pathinfo($filename4, PATHINFO_EXTENSION) . "\n";
// 输出: 文件: noextensionfile，扩展名:

echo "文件: " . $filename5 . "，扩展名: " . pathinfo($filename5, PATHINFO_EXTENSION) . "\n";
// 输出: 文件: .htaccess，扩展名: htaccess
?>

pathinfo()

PATHINFO_EXTENSION

立即学习“PHP免费学习笔记（深入）”；

另一种方法，虽然稍微“手工”一点，但对于理解字符串处理很有帮助，那就是结合

strrpos()

substr()

<?php
function get_extension_manual($filename) {
    $pos = strrpos($filename, '.'); // 找到最后一个点的位置
    if ($pos === false) { // 如果没有点，说明没有扩展名
        return '';
    }
    return substr($filename, $pos + 1); // 从点之后开始截取
}

echo "文件: " . $filename1 . "，扩展名: " . get_extension_manual($filename1) . "\n";
// 输出: 文件: document.pdf，扩展名: pdf

echo "文件: " . $filename2 . "，扩展名: " . get_extension_manual($filename2) . "\n";
// 输出: 文件: archive.tar.gz，扩展名: gz

echo "文件: " . $filename4 . "，扩展名: " . get_extension_manual($filename4) . "\n";
// 输出: 文件: noextensionfile，扩展名:

echo "文件: " . $filename5 . "，扩展名: " . get_extension_manual($filename5) . "\n";
// 输出: 文件: .htaccess，扩展名: htaccess
?>

这两种方式各有千秋，但从代码的简洁性和对各种路径情况的健壮处理来看，

pathinfo()

PHP获取文件扩展名时常见的陷阱有哪些？

当我们试图从文件名中提取扩展名时，事情往往不像表面看起来那么简单，总有些“坑”等着我们。最常见的问题包括：

• 文件名中没有点（

  .

  登录后复制
  ）：比如一个文件叫

  README

  登录后复制
  ，它就没有扩展名。

  pathinfo()

  登录后复制
  会返回空字符串，这很合理。但如果你自己用

  strrpos()

  登录后复制
  找点，然后不加判断就

  substr()

  登录后复制
  ，那可能就会得到整个文件名或者一个错误。所以，判断

  strrpos()

  登录后复制
  的返回值是否为

  false

  登录后复制
  至关重要。

• 文件名中包含多个点：像

  archive.tar.gz

  登录后复制
  这样的文件，它的“实际”扩展名是

  tar.gz

  登录后复制
  还是

  gz

  登录后复制
  ？

  pathinfo()

  登录后复制
  默认会认为

  gz

  登录后复制
  是扩展名，因为它只取最后一个点之后的部分。如果你的业务逻辑需要

  tar.gz

  登录后复制
  ，那么

  pathinfo()

  登录后复制
  就不能直接满足你的需求了，你可能需要更复杂的字符串处理逻辑，或者重新考虑对“扩展名”的定义。

• 隐藏文件或以点开头的文件：例如

  .htaccess

  登录后复制
  。

  pathinfo()

  登录后复制
  会把

  htaccess

  登录后复制
  当作扩展名。这在很多情况下是符合预期的，因为操作系统也常把这类文件视作有特定用途。但如果你希望这类文件没有扩展名，那你就需要额外的判断，比如检查文件名是否以点开头且没有其他点。

• 大小写问题：在某些文件系统（如Windows）中，

  file.JPG

  登录后复制
  和

  file.JPG

  登录后复制
  是同一个文件。但在Linux等系统上，它们可能是不同的。虽然获取扩展名本身通常不涉及这个问题，但在后续处理（比如根据扩展名判断文件类型或重命名）时，保持一致的大小写规范会避免很多麻烦。通常我们会把获取到的扩展名统一转换成小写进行比较，例如

  strtolower(pathinfo($filename, PATHINFO_EXTENSION))

  登录后复制
  。

• 路径中包含目录分隔符：

  pathinfo()

  登录后复制
  函数设计之初就考虑了完整路径的情况，比如

  /var/www/html/uploads/image.png

  登录后复制
  。它能正确地只提取

  image.png

  登录后复制
  的扩展名。但如果你只处理文件名，这些问题就不那么突出。

这些“陷阱”提醒我们，文件处理远不止简单地调用一个函数那么简单，还需要对各种可能出现的边缘情况有所预见和处理。

为什么不建议仅仅依靠文件扩展名来判断文件类型？

这是一个非常关键的安全问题，也是我在实际开发中反复强调的。仅仅依靠文件扩展名来判断文件类型，简直就是给潜在的安全漏洞敞开大门。原因很简单，也很多：

• 极易被伪造：用户可以轻而易举地修改文件的扩展名。一个恶意脚本文件

  malicious.php

  登录后复制
  ，可以被简单地重命名为

  malicious.jpg

  登录后复制
  ，然后上传到你的服务器。如果你的系统仅仅检查扩展名是

  jpg

  登录后复制
  就放行，那么当这个“图片”文件被访问时，它可能会作为PHP脚本执行，造成巨大的安全风险，比如远程代码执行。

• 误导性强：一个

  zip

  登录后复制
  压缩包，可以被重命名为

  document.doc

  登录后复制
  。虽然扩展名是

  doc

  登录后复制
  ，但它本质上还是一个压缩文件。如果你的应用期望处理的是Word文档，但实际却得到了一个压缩包，那么后续的处理逻辑就会出错，可能导致程序崩溃，或者更糟糕的是，被解压后执行恶意内容。
  

  NameGPT名称生成器

  免费AI公司名称生成器，AI在线生成企业名称，注册公司名称起名大全。

  0

  查看详情

• MIME类型才是真相：文件的真正类型是由其MIME类型（Multipurpose Internet Mail Extensions Type）决定的，这通常是通过检查文件的“魔术字节”（文件开头的特定字节序列）来确定的，而不是文件名。例如，JPEG图片的MIME类型是

  image/jpeg

  登录后复制
  ，PDF文档是

  application/pdf

  登录后复制
  。PHP提供了

  finfo_file()

  登录后复制
  函数（需要

  fileinfo

  登录后复制
  扩展）来获取文件的MIME类型，这才是判断文件类型的可靠方法。

• 客户端验证的局限性：虽然我们通常会在前端通过JavaScript对文件扩展名进行初步验证，但这仅仅是为了提升用户体验，防止用户误传。客户端的验证可以被轻易绕过，任何重要的安全检查都必须在服务器端进行。

所以，在文件上传和处理的场景中，我的建议总是：

1. 前端验证：作为用户体验的优化，检查文件扩展名。
2. 后端验证：
   • 首先，检查MIME类型：使用

     finfo_file()

     登录后复制
     或

     mime_content_type()

     登录后复制
     来获取文件的真实MIME类型，并与允许的MIME类型列表进行比对。
   • 其次，再次检查扩展名：虽然不作为主要判断依据，但可以作为额外的过滤条件。
   • 最后，对上传的文件进行重命名：生成一个唯一且不包含用户可控部分的随机文件名（例如UUID），并存储到服务器的安全位置，避免直接使用用户上传的文件名。

通过这些多层次的验证和处理，才能最大程度地保证文件处理的安全性。

除了获取扩展名，PHP在文件处理中还有哪些实用的函数？

PHP在文件系统操作方面提供了非常丰富且实用的函数库，远不止获取扩展名这么简单。这些函数能够帮助我们完成文件和目录的创建、读取、写入、移动、删除等一系列操作。这里列举一些我在日常开发中经常会用到的：

• basename($path, $suffix)

  登录后复制
  ：获取路径中的文件名部分。如果你传入

  $suffix

  登录后复制
  ，它会尝试从文件名末尾移除该后缀。这对于只需要文件名而不需要路径或扩展名的情况非常有用。

  echo basename("/var/www/html/image.png"); // 输出: image.png
  echo basename("/var/www/html/image.png", ".png"); // 输出: image

  登录后复制

• dirname($path)

  登录后复制
  ：获取路径中的目录部分。这是

  basename()

  登录后复制
  的“反面”，当你需要知道文件所在的文件夹时，它就派上用场了。

  echo dirname("/var/www/html/image.png"); // 输出: /var/www/html

  登录后复制

• realpath($path)

  登录后复制
  ：返回规范化的绝对路径名。这个函数能解析所有

  ..

  登录后复制
  、

  .

  登录后复制
  以及符号链接，给出文件或目录的真实、完整的物理路径。在处理文件包含或确保路径正确性时非常有用。

  // 假设当前目录是 /var/www/html
  echo realpath("../uploads/image.png"); // 可能输出: /var/www/uploads/image.png

  登录后复制

• file_exists($filename)

  登录后复制
  ：检查文件或目录是否存在。这是进行任何文件操作前一个非常基础且重要的检查。

  if (file_exists("config.php")) {
      echo "配置文件存在。";
  }

  登录后复制

• is_uploaded_file($filename)

  登录后复制
  和

  move_uploaded_file($source, $destination)

  登录后复制
  ：这两个函数是处理HTTP文件上传的核心。

  is_uploaded_file()

  登录后复制
  用于验证文件是否是通过HTTP POST上传的，防止攻击者提交伪造的文件。

  move_uploaded_file()

  登录后复制
  则安全地将上传的临时文件移动到最终目的地。

  if (is_uploaded_file($_FILES['userfile']['tmp_name'])) {
      move_uploaded_file($_FILES['userfile']['tmp_name'], "/uploads/newfile.jpg");
  }

  登录后复制

• filesize($filename)

  登录后复制
  ：获取文件的大小（字节）。在显示文件信息或限制上传文件大小时很实用。

• file_get_contents($filename)

  登录后复制
  和

  file_put_contents($filename, $data)

  登录后复制
  ：这对函数是读写文件的“瑞士军刀”。

  file_get_contents()

  登录后复制
  能把整个文件内容读入一个字符串，而

  file_put_contents()

  登录后复制
  则能把字符串写入文件，非常适合处理小文件或配置。

• unlink($filename)

  登录后复制
  ：删除文件。这是执行文件清理或删除不再需要的文件时的基本操作。

• mkdir($pathname, $mode, $recursive)

  登录后复制
  和

  rmdir($dirname)

  登录后复制
  ：用于创建和删除目录。

  mkdir

  登录后复制
  的

  $recursive

  登录后复制
  参数非常强大，可以创建多级目录。

这些函数构成了PHP文件系统操作的基础，掌握它们能够让我们在处理文件和目录时游刃有余。当然，还有更多高级的函数和SPL（Standard PHP Library）提供的迭代器，可以用于更复杂的文件系统遍历和操作，但对于大多数日常任务，上述函数已经足够强大了。

以上就是php如何获取文件扩展名？php获取文件名后缀的技巧的详细内容，更多请关注php中文网其它相关文章！