霜天部落 | 专注PHP研发,研究LAMP高性能架构部署与优化

php文件上传处理

php中的文件上传主要是通过POST 方法上传,本文介绍一下在PHP中文件上传的流程以及文件上传的注意事项。

一、表单

1、上传文件的表单使用post方式(和get的区别不用说了);还要加上enctype=’multipart/form-data’。

2、一般要加上隐藏域:<input type=hidden name=’MAX_FILE_SIZE’ value=’1024000′>,位置在file域前面。value的值是上传文件的客户端字节限制。MAX_FILE_SIZE 隐藏字段(单位为字节)必须放在文件输入字段之前,其值为接收文件的最大尺寸。这是对浏览器的一个建议,PHP 也会检查此项。在浏览器端可以简单绕过此设置,因此不要指望用此特性来阻挡大文件。实际上,PHP 设置中的上传文件最大值是不会失效的。但是最好还是在表单中加上此项目,因为它可以避免用户在花时间等待上传大文件之后才发现文件过大上传失败的麻烦。

3、出于安全考虑,file域是不许赋值的。随便在file域输入字符串,然后按submit也不会有反应。必须是第二个字符是冒号的时候(比如空格跟随冒号可以上传一个长度为0字节的“文件”),submit才同意“服务”——不过这个是客户端的措施,跟MAX_FILE_SIZE一样很容易绕过去。

二、文件上传错误代码

先抄一段:预定义变量$_FILES数组有5个内容:
$_FILES[‘userfile’][‘name’]——客户端机器文件的原名称
$_FILES[‘userfile’][‘type’]——文件的 MIME 类型
$_FILES[‘userfile’][‘size’]——已上传文件的大小,单位为字节
$_FILES[‘userfile’][‘tmp_name’]——文件被上传后在服务端储存的临时文件名
$_FILES[‘userfile’][‘error’]——和该文件上传相关的错误代码

其中$_FILES[‘userfile’][‘error’]的可以有下列取值和意义:
0——没有错误发生,文件上传成功。
1——上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。
2——上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值。
3——文件只有部分被上传。
4——没有文件被上传。

1~3不用说了。
“没有文件被上传”(4)是指表单的file域没有内容,是空字符串。
“文件上传成功”(0)不一定真的有文件上传了。比如你打了个“c:”给file域,就可以“上传成功”——错误代码是0,[‘name’]是“c:”,[‘type’]是“application/octet-stream”,[‘size’]是0,[‘tmp_name’]是“xxx.tmp”(xxx是服务器起的名字)

三、文件大小限制和检验

限制上传文件大小的因素有

1、客户端的隐藏域MAX_FILE_SIZE的数值(可以被绕开)。

2、服务器端的upload_max_filesize,post_max_size和memory_limit。这几项不能够用脚本来设置。

3、自定义文件大小限制逻辑。即使服务器的限制是能自己决定,也会有需要个别考虑的情况。所以这个限制方式经常是必要的。

我碰见的一种情况可能不是普遍性的,说明一下。如果文件比服务器端限制(upload_max_filesize)大很多,但也还没达到或接近 post_max_size或者memory_limit,$_FILES就会“崩溃”——结果是$_FILES[‘userfile’]变成了 “Undefined index”,当然是什么检验也做不到了。

服务器端限制的检验优先于客户端限制的检验。就是说,如果两个限制是一样的,而文件过大了,$_FILES[‘userfile’] [‘error’]会出错误代码1。只有客户端限制比服务器端限制小到一定“程度”,而且文件大小超过两者的时候,才会出现错误代码2。上述的“程度”,在我的机器上试验在3~4K之间——我的机器设置的服务器端限制为2M……因为没什么意味,就没有追求精确的规律。

出现错误代码1或2的时候:

$_FILES[‘userfile’][‘name’]为客户端机器文件的原名称
$_FILES[‘userfile’][‘type’]为空字符串
$_FILES[‘userfile’][‘size’]为0
$_FILES[‘userfile’][‘tmp_name’]为空字符串

四、文件路径检验

file域无输入,错误代码为4(无文件上传)
$_FILES[‘userfile’][‘name’]为空字符串
$_FILES[‘userfile’][‘type’]为空字符串
$_FILES[‘userfile’][‘size’]为0
$_FILES[‘userfile’][‘tmp_name’]为空字符串

file域是非文件路径的字符串(不考虑客户端的假“限制”了),错误代码是0(“上传成功”)
$_FILES[‘userfile’][‘name’]为原字符串
$_FILES[‘userfile’][‘type’]为application/octet-stream
$_FILES[‘userfile’][‘size’]为0
$_FILES[‘userfile’][‘tmp_name’]为一个暂时文件名

五、is_uploaded_file()的返回值

为了能使 is_uploaded_file() 函数正常工作,必段指定类似于 $_FILES[‘userfile’][‘tmp_name’] 的变量,而在从客户端上传的文件名 $_FILES[‘userfile’][‘name’] 不能正常运作。