首先配置PHP参数支持大文件上传,再通过前端表单提交视频;后端接收时校验文件扩展名与MIME类型,确保格式合法;使用唯一名称重命名并存储至安全路径,防止恶意文件攻击;可选调用FFmpeg转码与生成缩略图;最后将文件信息存入数据库,并通过访问控制接口提供受控下载,建议结合CDN或对象存储优化性能。
PHP后台上传视频需要考虑文件大小限制、格式验证、安全性、存储路径管理以及可能的转码需求。直接接收用户上传的视频而不做校验容易引发安全风险,比如恶意文件注入或服务器资源耗尽。以下是完整的处理方案。
1. 配置PHP上传参数
视频文件通常较大,需调整PHP配置以支持大文件上传:
- upload_max_filesize:设置允许上传的最大文件尺寸,如 512M
- post_max_size:POST数据最大值,应略大于 upload_max_filesize
- max_execution_time:上传和处理时间较长,适当增加执行时间(如 300秒)
- max_input_time:控制输入解析时间
可在 php.ini 中修改,或使用 ini_set() 动态设置(部分环境受限):
ini_set('upload_max_filesize', '512M');
ini_set('post_max_size', '600M');
ini_set('max_execution_time', 300);
2. 前端表单与后端接收
确保表单 enctype 设置为 multipart/form-data:
立即学习“PHP免费学习笔记(深入)”;
在 upload.php 中接收文件:
if ($_FILES['video']['error'] === UPLOAD_ERR_OK) {
$tmpName = $_FILES['video']['tmp_name'];
$originalName = $_FILES['video']['name'];
$size = $_FILES['video']['size'];
$type = $_FILES['video']['type'];
} else {
die("上传失败:错误代码 " . $_FILES['video']['error']);
}
3. 文件合法性校验
不能仅依赖前端或 MIME 类型判断,需多重验证:
- 检查扩展名:白名单方式限定格式,如 mp4, mov, avi, webm
- 验证 MIME 类型:使用 finfo 扩展获取真实类型
- 检查文件头信息:防止伪装成视频的恶意脚本
示例代码:
$allowedTypes = ['video/mp4', 'video/quicktime', 'video/x-msvideo', 'video/webm'];
$exts = ['mp4', 'mov', 'avi', 'webm'];
$ext = pathinfo($originalName, PATHINFO_EXTENSION);
if (!in_array(strtolower($ext), $exts)) {
die("不支持的文件格式");
}
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $tmpName);
finfo_close($finfo);
if (!in_array($mimeType, $allowedTypes)) {
die("MIME类型不合法");
}
4. 安全存储与重命名
避免使用用户上传的原始文件名,防止路径穿越或覆盖攻击:
- 将文件保存到非Web可访问目录,或通过脚本控制访问
- 使用唯一文件名(如时间戳 + 随机字符串)
- 设置正确的权限(chmod 644)
示例:
$uploadDir = '/var/www/uploads/videos/';
if (!is_dir($uploadDir)) {
mkdir($uploadDir, 0755, true);
}
$safeName = date('Ymd_His') . '_' . bin2hex(random_bytes(8)) . '.' . $ext;
$targetPath = $uploadDir . $safeName;
if (move_uploaded_file($tmpName, $targetPath)) {
echo "上传成功,文件路径:$targetPath";
} else {
echo "移动文件失败";
}
5. 可选:视频转码与缩略图生成
为兼容播放或节省带宽,可用 FFmpeg 进行转码:
// 转成标准MP4格式
exec("ffmpeg -i {$targetPath} -vcodec h264 -acodec aac /var/www/uploads/converted/{$safeName}.mp4", $output, $return);
// 生成封面图
exec("ffmpeg -i {$targetPath} -ss 00:00:05 -vframes 1 /var/www/uploads/thumbs/{$safeName}.jpg", $output, $return);
注意:需服务器安装 FFmpeg 并确保 PHP 有执行权限。
6. 数据库记录与访问控制
建议将上传信息存入数据库,便于管理:
$pdo->prepare("INSERT INTO videos (filename, original_name, size, uploaded_at)
VALUES (?, ?, ?, NOW())")->execute([$safeName, $originalName, $size]);
提供受控访问接口,例如:
// view.php?id=123
header('Content-Type: video/mp4');
readfile('/var/www/uploads/videos/' . $safeName);
可加入权限检查、限速或防盗链逻辑。
基本上就这些。关键点是安全校验 + 合理配置 + 存储隔离。如果用户量大,建议结合CDN或对象存储(如阿里云OSS、腾讯COS)做后续优化。
