正确组合路径并保障安全是PHP文件上传的关键。1. 使用$_SERVER['DOCUMENT_ROOT']获取根目录,拼接自定义相对路径如'uploads/'形成绝对路径,并确保目录存在且可写;2. 通过$_FILES接收文件,验证无误后用move_uploaded_file()移至目标路径,保存相对路径供数据库记录;3. 安全方面需重命名文件、限制扩展名、校验MIME类型、禁用执行权限、防止路径遍历;4. 路径拼接时规范斜杠处理,避免因系统差异导致错误。核心在于严格控制文件来源、规范路径操作与权限管理。
PHP上传文件时,保存相对路径并拼接服务器根目录是常见操作,但需注意路径处理和安全问题。核心在于正确组合路径、避免恶意上传,并确保文件可被安全访问。
1. 获取服务器根目录并拼接相对路径
使用 $_SERVER['DOCUMENT_ROOT'] 可获取Web服务器的根目录(如 /var/www/html),再与自定义相对路径拼接,形成完整存储路径。
例如,将文件保存到项目下的 uploads/ 目录:
$uploadDir = 'uploads/';
$absolutePath = $_SERVER['DOCUMENT_ROOT'] . '/' . $uploadDir;
确保目录存在且有写权限:
立即学习“PHP免费学习笔记(深入)”;
if (!is_dir($absolutePath)) {
mkdir($absolutePath, 0755, true);
}
2. 处理上传文件并保存相对路径
通过 $_FILES 接收上传文件,验证后移动到目标位置,并保存相对路径用于数据库记录。
示例代码:
if ($_FILES['file']['error'] === UPLOAD_ERR_OK) {
$tmpName = $_FILES['file']['tmp_name'];
$fileName = basename($_FILES['file']['name']); // 防止路径注入
$destination = $absolutePath . $fileName;
if (move_uploaded_file($tmpName, $destination)) {
$relativePath = $uploadDir . $fileName; // 保存此路径到数据库
echo "文件已保存至: " . $relativePath;
}
}
3. 安全注意事项
直接使用用户上传的文件名存在风险,必须进行过滤和校验:
-
重命名文件:使用唯一名称(如
uniqid()或哈希)防止覆盖和执行恶意脚本。 - 限制扩展名:只允许安全类型(如 jpg、png、pdf)。
-
检查MIME类型:用
finfo_file()验证真实文件类型。 - 避免执行权限:上传目录禁止执行PHP脚本,可通过配置Web服务器实现。
-
防止路径遍历:使用
basename()提取文件名,避免../../类型攻击。
4. 路径拼接建议
拼接路径时统一使用斜杠,避免因系统差异出错。可用:
$uploadDir = 'uploads/';
$absolutePath = rtrim($_SERVER['DOCUMENT_ROOT'], '/') . '/' . ltrim($uploadDir, '/');
这样可防止重复或缺失斜杠导致路径错误。
基本上就这些。关键是控制文件来源、规范路径处理、强化权限管理,才能安全实现文件上传与存储。
