PHP无法屏蔽异常视频格式播放,因其不参与前端解码;需通过finfo检测真实MIME、扩展名匹配、FFmpeg验证文件结构及编码兼容性,并统一转码为H.264+MP4确保浏览器支持。
PHP 无法直接屏蔽异常视频格式播放
PHP 是服务端语言,不参与浏览器端的视频解码与播放过程。所谓“屏蔽异常视频格式”,实际要解决的是:防止用户上传或请求非法/不支持的视频文件,避免前端 标签崩溃、报错(如 DOMException: The element has no supported sources),或后端因解析失败引发异常。
验证上传视频的 MIME 类型和扩展名是否匹配
用户可轻易伪造 Content-Type 或修改文件后缀,仅靠 $_FILES['file']['type'] 完全不可信。必须用服务端真实检测。
- 使用
finfo_open()读取二进制头信息判断真实 MIME 类型 - 白名单限制:只允许
video/mp4、video/webm、video/ogg等浏览器普遍支持的类型 - 同时校验扩展名是否与 MIME 类型逻辑一致(例如
.mp4对应video/mp4)
if (isset($_FILES['video']) && $_FILES['video']['error'] === UPLOAD_ERR_OK) {
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES['video']['tmp_name']);
finfo_close($finfo);
$allowed_mimes = ['video/mp4', 'video/webm', 'video/ogg'];
$ext = strtolower(pathinfo($_FILES['video']['name'], PATHINFO_EXTENSION));
$is_valid_mime = in_array($mime, $allowed_mimes);
$is_valid_ext = in_array($ext, ['mp4', 'webm', 'ogg']);
if (!$is_valid_mime || !$is_valid_ext || ($mime === 'video/mp4' && $ext !== 'mp4')) {
die('不支持的视频格式');
}}
用 FFmpeg 检查视频文件是否可解码(防“假视频”)
有些文件虽 MIME 正确、后缀合法,但实际是损坏、无音视频流、或编码参数超出浏览器支持范围(如 H.265/HEVC 在多数 Chrome 中不原生支持)。这时需调用 FFmpeg 做轻量探测。
立即学习“PHP免费学习笔记(深入)”;
- 执行
ffmpeg -v error -i,检查返回码和 stderr 输出-f null - - 若返回非 0 或 stderr 含
Invalid data、moov atom not found,说明文件结构异常 - 注意:需确保服务器已安装 FFmpeg 且 PHP 有执行权限;生产环境建议加超时和输入路径白名单
$cmd = escapeshellcmd("ffmpeg -v error -i " . $_FILES['video']['tmp_name'] . " -f null - 2>&1");
$output = shell_exec($cmd);
$return_code = $cmd ? 0 : 1;
if ($return_code !== 0 || strpos($output, 'Invalid data') !== false || strpos($output, 'moov') !== false) {
unlink($_FILES['video']['tmp_name']);
die('视频文件损坏或无法播放');
}
响应前端时主动过滤不兼容格式(如拒绝 HEVC)
即使文件能被 FFmpeg 解码,也不代表浏览器能播。例如 Safari 支持 HEVC,但 Chrome 默认不支持。可在生成播放页时,用 PHP 提前排除掉高风险编码:
- 用
ffprobe获取编码信息:ffprobe -v quiet -show_entries stream=codec_name,width,height -of csv=p=0 - 若检测到
hevc或av1,且当前请求 User-Agent 不是 Safari,则跳过该视频源或转码提示 - 更稳妥做法:统一转码为 H.264 + AAC + MP4 封装,再提供给前端
关键点在于:没有“PHP 屏蔽播放”这回事,只有“PHP 拦截/转换/告知不支持”,最终能否播,取决于浏览器能力与文件实质合规性。最容易被忽略的是——你以为校验了 MIME 和后缀就安全了,其实一个 mp4 文件可能只是改了后缀的 ZIP,或者缺少 moov 头,等真正 时才暴露问题。
