使用 AJAX 和 FormData 上传文件并传递额外数据-php教程-PHP中文网

使用 AJAX 和 FormData 上传文件并传递额外数据

碧海醫心

发布： 2025-09-15 19:52:01

原创

652人浏览过

使用 ajax 和 formdata 上传文件并传递额外数据

本文档旨在指导开发者如何正确地使用 AJAX 和 FormData 对象上传文件，并在上传过程中传递额外的参数（例如ID）到服务器端。我们将重点解决 FormData 对象在 AJAX 请求中的使用方式，并提供一个可行的示例，同时强调服务器端安全的重要性，避免 SQL 注入攻击。

使用 FormData 正确传递数据到服务器

在使用 AJAX 上传文件时，FormData 对象是一个非常有用的工具。它可以方便地将文件和其他数据一起发送到服务器。但是，如果使用不当，可能会导致数据无法正确传递。

客户端代码 (JavaScript)

以下是客户端代码的正确示例，展示了如何将文件和 ID 一起通过 AJAX 发送到服务器：

var id = "<?php echo $id ?>"; // 从 PHP 获取 ID
var form_data = new FormData();
var files = $('#multiple_files')[0].files;

if(files.length > 15) {
  alert('You can not select more than 15 files'); // 替换为更友好的错误提示
  return; // 阻止后续操作
}

for(var i = 0; i < files.length; i++) {
  form_data.append("multiple_files[]", files[i]); // 使用数组形式，方便服务器端处理多个文件
}

form_data.append("id", id); // 将 ID 添加到 FormData 对象中

$.ajax({
  url:"upload.php",
  data: form_data,
  method:"POST",
  contentType: false,
  cache: false,
  processData: false,
  beforeSend:function(){
    $('#error_multiple_files').html('<br /><label class="text-primary">Uploading...</label>');
  },
  success:function(data) {
    $('#error_multiple_files').html('<br /><label class="text-success">Uploaded</label>');
    load_image_data();
  },
  error: function(jqXHR, textStatus, errorThrown) {
    console.error("AJAX Error:", textStatus, errorThrown);
    $('#error_multiple_files').html('<br /><label class="text-danger">Upload Failed</label>'); // 更友好的错误提示
  }
});

登录后复制

关键点:

码上飞

码上飞（CodeFlying）是一款AI自动化开发平台，通过自然语言描述即可自动生成完整应用程序。

138

查看详情

FormData 对象： 使用 FormData 对象来收集文件和额外的参数。
append() 方法： 使用 append() 方法将 ID 和文件添加到 FormData 对象中。注意文件上传时，建议使用数组形式 multiple_files[]，方便服务器端处理多个文件。
contentType: false 和 processData: false： 这两个选项必须设置为 false，以确保 FormData 对象能够正确地发送到服务器。
错误处理： 添加 error 回调函数来处理 AJAX 请求失败的情况，并提供友好的错误提示。

服务器端代码 (PHP)

以下是服务器端代码的示例，展示了如何从 $_POST 和 $_FILES 数组中获取数据：

<?php

if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $id = $_POST['id'];

    // 检查是否有文件上传
    if (isset($_FILES['multiple_files']) && is_array($_FILES['multiple_files']['name'])) {
        $fileCount = count($_FILES['multiple_files']['name']);

        for ($i = 0; $i < $fileCount; $i++) {
            $file_name = $_FILES['multiple_files']['name'][$i];
            $file_tmp = $_FILES['multiple_files']['tmp_name'][$i];
            $file_size = $_FILES['multiple_files']['size'][$i];
            $file_error = $_FILES['multiple_files']['error'][$i];

            // 检查上传错误
            if ($file_error === UPLOAD_ERR_OK) {
                // 获取文件扩展名
                $file_ext = strtolower(pathinfo($file_name, PATHINFO_EXTENSION));

                // 允许的文件类型
                $allowed_extensions = array("jpg", "jpeg", "png", "gif");

                if (in_array($file_ext, $allowed_extensions)) {
                    // 生成唯一的文件名
                    $new_file_name = uniqid('', true) . "." . $file_ext;

                    // 定义上传目录 (确保该目录存在且可写)
                    $upload_dir = "uploads/";

                    // 构建完整的文件路径
                    $file_destination = $upload_dir . $new_file_name;

                    // 移动上传的文件
                    if (move_uploaded_file($file_tmp, $file_destination)) {
                        // 文件上传成功，将信息插入数据库 (使用预处理语句防止 SQL 注入)
                        $servername = "localhost";
                        $username = "your_username";
                        $password = "your_password";
                        $dbname = "your_database";

                        $conn = new mysqli($servername, $username, $password, $dbname);

                        if ($conn->connect_error) {
                            die("Connection failed: " . $conn->connect_error);
                        }

                        // 使用预处理语句
                        $sql = "INSERT INTO tbl_image (postid, image_name, image_description) VALUES (?, ?, '')";
                        $stmt = $conn->prepare($sql);
                        $stmt->bind_param("ss", $id, $new_file_name); // "ss" 表示两个字符串参数

                        if ($stmt->execute() === TRUE) {
                            echo "File " . htmlspecialchars(basename($file_name)) . " uploaded successfully.<br>";
                        } else {
                            echo "Error: " . $sql . "<br>" . $conn->error;
                        }

                        $stmt->close();
                        $conn->close();
                    } else {
                        echo "Failed to move uploaded file.";
                    }
                } else {
                    echo "Invalid file type for " . htmlspecialchars(basename($file_name)) . ". Allowed types: jpg, jpeg, png, gif<br>";
                }
            } else {
                echo "Upload error for " . htmlspecialchars(basename($file_name)) . ": " . $file_error . "<br>";
            }
        }
    } else {
        echo "No files were uploaded.";
    }
} else {
    echo "Invalid request method.";
}

?>

登录后复制

关键点:

$_POST['id']： 通过 $_POST 数组获取客户端传递的 ID。
$_FILES['multiple_files']： 通过 $_FILES 数组获取上传的文件。
安全性： 务必使用预处理语句（Prepared Statements）来防止 SQL 注入攻击。 不要直接将用户输入的数据拼接到 SQL 查询语句中。
错误处理： 完善的错误处理机制，能够帮助开发者快速定位问题。
文件类型验证: 确保只允许上传特定类型的文件。
上传目录: 确保上传目录存在且PHP进程拥有写入权限。

安全注意事项：防止 SQL 注入

如上例所示，必须使用预处理语句（Prepared Statements）来防止 SQL 注入攻击。 SQL 注入是一种常见的安全漏洞，攻击者可以通过在用户输入中插入恶意的 SQL 代码来篡改数据库。

以下是一个使用预处理语句的示例：

// 使用预处理语句
$sql = "INSERT INTO tbl_image (postid, image_name, image_description) VALUES (?, ?, '')";
$stmt = $conn->prepare($sql);
$stmt->bind_param("ss", $id, $new_file_name); // "ss" 表示两个字符串参数

if ($stmt->execute() === TRUE) {
    echo "File uploaded successfully.";
} else {
    echo "Error: " . $sql . "<br>" . $conn->error;
}

$stmt->close();
$conn->close();

登录后复制

bind_param() 函数： 使用 bind_param() 函数将变量绑定到预处理语句中的占位符。 "ss" 表示有两个字符串类型的参数。

总结

本文档详细介绍了如何使用 AJAX 和 FormData 对象上传文件并传递额外的数据到服务器。重点强调了使用 FormData 对象的正确方法，以及在服务器端如何安全地处理上传的文件和数据。务必注意服务器端的安全性，使用预处理语句来防止 SQL 注入攻击。通过遵循这些步骤，您可以构建一个安全可靠的文件上传功能。

以上就是使用 AJAX 和 FormData 上传文件并传递额外数据的详细内容，更多请关注php中文网其它相关文章！