PHP接收上传文件需先检查$_FILES是否为空且error为UPLOAD_ERR_OK,再用move_uploaded_file()安全移动;关键注意enctype、PHP配置及文件名过滤。
PHP怎么接收上传文件:先看$_FILES是否为空
PHP接收到 multipart/form-data 请求后,文件信息不会出现在 $_POST 或 $_GET 里,必须检查 $_FILES 数组。如果 $_FILES 是空数组或未定义,常见原因包括:enctype="multipart/form-data" 没写在 标签上、MAX_FILE_SIZE 隐藏字段值太小、PHP 配置限制(如 upload_max_filesize 或 post_max_size)已触发截断。
$_FILES数组结构和常用键名含义
$_FILES 是二维数组,每个上传字段对应一个一维子数组,含五个固定键:name(客户端原始文件名)、type(浏览器提交的 MIME 类型,不可信)、tmp_name(服务端临时路径,仅本次请求有效)、error(错误码,0 表示成功)、size(字节数)。关键点:
-
tmp_name必须非空且存在,才能用move_uploaded_file() -
error值为UPLOAD_ERR_OK(即 0)才表示上传无误;其他值如UPLOAD_ERR_INI_SIZE(1)说明超出了upload_max_filesize -
name可能含路径(如../evil.php),务必过滤或重命名,不能直接拼进文件系统路径
安全移动上传文件的正确写法
别用 copy() 或 file_put_contents() 直接处理 $_FILES['xxx']['tmp_name'],那会绕过 PHP 的上传校验机制。必须用 move_uploaded_file(),它会验证该文件确为本次上传生成的临时文件。
if ($_FILES['avatar']['error'] === UPLOAD_ERR_OK) {
$tmp = $_FILES['avatar']['tmp_name'];
$ext = pathinfo($_FILES['avatar']['name'], PATHINFO_EXTENSION);
$ext = strtolower($ext);
if (in_array($ext, ['jpg', 'jpeg', 'png', 'gif'])) {
$dst = '/var/www/uploads/' . uniqid() . '.' . $ext;
if (move_uploaded_file($tmp, $dst)) {
echo "上传成功:$dst";
}
}
}
调试上传失败时优先查这三处配置
很多“收不到文件”问题其实和代码无关,而是服务器层拦截了。打开 phpinfo() 或运行 ini_get('upload_max_filesize') 确认实际生效值:
立即学习“PHP免费学习笔记(深入)”;
-
file_uploads必须为On -
upload_max_filesize和post_max_size都要大于待传文件体积(注意后者需 ≥ 前者 + 表单其他字段总长) -
max_execution_time和max_input_time过短会导致大文件上传中途超时,error可能为UPLOAD_ERR_EXTENSION(值为 8),但实际是超时而非扩展问题
临时文件目录(upload_tmp_dir)权限不对也会导致 move_uploaded_file() 失败,错误表现为 tmp_name 为空或 move_uploaded_file(): Unable to move。
