文件上传需通过$_FILES处理,检查error、校验扩展名、生成新文件名并用move_uploaded_file安全移动;下载则设置Content-Type、Content-Disposition等响应头,验证权限与路径,防止目录遍历。1. 上传表单须method="POST"且enctype="multipart/form-data";2. $_FILES['myfile']含name、tmp_name、error、size、type;3. 安全措施包括错误码检查、扩展名白名单、随机文件名、禁用Web访问上传目录;4. 下载时先验证权限,再输出文件内容前设置正确响应头;5. 避免headers already sent问题,中文文件名用rawurlencode编码;6. 大文件分块读取防内存溢出。核心是上传重验证隔离,下载重头控与路径安全。
PHP 实现文件上传和下载,核心在于正确处理 $_FILES 超全局数组、设置合适的 HTTP 响应头,并注意安全与路径控制。下面分上传和下载两部分说明关键点和实用写法。
上传需 HTML 表单配合 PHP 后端处理。表单必须满足:
– method="POST"
– enctype="multipart/form-data"
– 包含 <input type="file" name="myfile">
PHP 端通过 $_FILES['myfile'] 获取上传信息,结构为:
安全建议:
立即学习“PHP免费学习笔记(深入)”;
$_FILES['myfile']['error'] === UPLOAD_ERR_OK
pathinfo($_FILES['myfile']['name'], PATHINFO_EXTENSION) 提取扩展名,结合白名单校验(如 in_array(strtolower($ext), ['jpg', 'png', 'pdf']))uniqid() . '.' . $ext),避免覆盖或执行风险move_uploaded_file($_FILES['myfile']['tmp_name'], $targetPath) 移动文件(copy() 不安全)../uploads/,或加 .htaccess / nginx deny)下载不是直接输出文件内容,而是设置响应头,让浏览器识别为“需下载”的资源。
关键响应头:
application/octet-stream(通用二进制流),或根据文件类型设更精确值(如 image/png)attachment; filename="xxx.ext",指定下载时默认保存名(注意中文名需 UTF-8 编码,可用 rawurlencode() 处理)filesize($filePath))基本流程:
is_file($filePath) && is_readable($filePath))readfile($filePath) 输出文件内容(适合中小文件);大文件建议分块读取 + flush() 避免内存溢出上传失败常见原因:
upload_max_filesize、post_max_size、max_execution_time 需调大sys_get_temp_dir() 可查)enctype 或方法不是 POST下载常见问题:
echo),导致 headers already sent 错误mb_convert_encoding($filename, 'UTF-8', 'auto') 或使用 Content-Disposition: attachment; filename*=UTF-8''{encoded}
../../../etc/passwd(务必用 realpath() + 白名单目录比对)基本上就这些。上传重在验证和隔离,下载重在头控制和路径安全。不复杂但容易忽略细节。
以上就是php实现文件的上传和下载的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
831
收藏
