文件上传需通过$_FILES处理,检查error、校验扩展名、生成新文件名并用move_uploaded_file安全移动;下载则设置Content-Type、Content-Disposition等响应头,验证权限与路径,防止目录遍历。1. 上传表单须method=”POST”且enctype=”multipart/form-data”;2. $_FILES[‘myfile’]含name、tmp_name、error、size、type;3. 安全措施包括错误码检查、扩展名白名单、随机文件名、禁用Web访问上传目录;4. 下载时先验证权限,再输出文件内容前设置正确响应头;5. 避免headers already sent问题,中文文件名用rawurlencode编码;6. 大文件分块读取防内存溢出。核心是上传重验证隔离,下载重头控与路径安全。
PHP 实现文件上传和下载,核心在于正确处理 $_FILES 超全局数组、设置合适的 HTTP 响应头,并注意安全与路径控制。下面分上传和下载两部分说明关键点和实用写法。
文件上传:接收并保存客户端文件
上传需 HTML 表单配合 PHP 后端处理。表单必须满足:
– method="POST"
– enctype="multipart/form-data"
– 包含
PHP 端通过 $_FILES['myfile'] 获取上传信息,结构为:
name:原始文件名(客户端提供,不可信) tmp_name:服务端临时存储路径(唯一可信的文件位置) error:错误码(0 表示成功,非 0 需检查) size:字节数(可做大小限制) type:MIME 类型(浏览器提供,可被伪造,仅作参考)
安全建议:
立即学习“PHP免费学习笔记(深入)”;
检查 $_FILES['myfile']['error'] === UPLOAD_ERR_OK 用 pathinfo($_FILES['myfile']['name'], PATHINFO_EXTENSION) 提取扩展名,结合白名单校验(如 in_array(strtolower($ext), ['jpg', 'png', 'pdf'])) 生成新文件名(如 uniqid() . '.' . $ext),避免覆盖或执行风险 用 move_uploaded_file($_FILES['myfile']['tmp_name'], $targetPath) 移动文件(copy() 不安全) 上传目录禁止直接 Web 访问(如放在 ../uploads/,或加 .htaccess / nginx deny)
文件下载:强制浏览器弹出保存对话框
下载不是直接输出文件内容,而是设置响应头,让浏览器识别为“需下载”的资源。
关键响应头:
Content-Type:设为 application/octet-stream(通用二进制流),或根据文件类型设更精确值(如 image/png) Content-Disposition:必须含 attachment; filename="xxx.ext",指定下载时默认保存名(注意中文名需 UTF-8 编码,可用 rawurlencode() 处理) Content-Length:推荐设置,提升体验(filesize($filePath)) Content-Transfer-Encoding:一般不用设,保持默认
基本流程:
验证用户权限(如登录态、文件归属) 检查文件是否存在且可读(is_file($filePath) && is_readable($filePath)) 设置上述响应头(注意不能有输出前的空格或 echo) 用 readfile($filePath) 输出文件内容(适合中小文件);大文件建议分块读取 + flush() 避免内存溢出
常见坑与注意事项
上传失败常见原因:
PHP 配置限制:upload_max_filesize、post_max_size、max_execution_time 需调大 临时目录无写入权限(sys_get_temp_dir() 可查) 表单漏掉 enctype 或方法不是 POST
下载常见问题:
响应头之前已有输出(包括 BOM、空行、echo),导致 headers already sent 错误 中文文件名在 IE/Edge 下乱码,建议兼容写法:mb_convert_encoding($filename, 'UTF-8', 'auto') 或使用 Content-Disposition: attachment; filename*=UTF-8''{encoded} 未校验文件路径,可能被构造为 ../../../etc/passwd(务必用 realpath() + 白名单目录比对)
基本上就这些。上传重在验证和隔离,下载重在头控制和路径安全。不复杂但容易忽略细节。
以上就是php实现文件的上传和下载的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1340539.html
微信扫一扫 
支付宝扫一扫 
