PHP move_uploaded_file函数用法详解

在前后端分离的web应用中，文件上传是一个非常基础的功能。而PHP的move_uploaded_file函数是其中一个非常常用的函数，用于将上传的文件移动到具体位置。本文将从以下几个方面来详细介绍该函数的用法。

一、选取上传的文件

在使用move_uploaded_file函数之前，首先需要选取需要上传的文件。在前端，可以使用input标签的type=file属性，以及form标签的enctype属性来实现文件上传功能。在后端，可以通过$_FILES数组来获取上传的文件。一般情况下，该数组包含4个元素：name、type、tmp_name、error。其中，name表示上传的文件名，type表示上传文件的MIME类型，tmp_name表示上传文件的临时储存位置，error表示上传文件的错误代码。

下面是一个上传文件的例子：

在后端可以使用以下代码来获取上传的文件：

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $file = $_FILES['my_file'];
}

二、移动上传文件

得到上传的文件后，就需要将它移动到具体位置。这是move_uploaded_file函数的功能。该函数的语法如下：

bool move_uploaded_file ( string $filename , string $destination )

其中，$filename表示上传文件的临时储存位置，$destination表示该文件在服务器上最终储存的位置。如果移动成功，该函数会返回true；如果移动失败，会返回false。

下面是一个移动上传文件的例子：

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $file = $_FILES['my_file'];
    $file_name = $file['name'];
    $tmp_name = $file['tmp_name'];
    $file_path = 'uploads/' . $file_name;
    if (move_uploaded_file($tmp_name, $file_path)) {
        echo '文件上传成功';
    } else {
        echo '文件上传失败';
    }
}

上面的例子将上传的文件在服务器保存到了uploads目录下。

三、处理上传文件的错误

在处理文件上传时，可能会遇到各种各样的错误。比如文件大小超出了限制，或者上传的文件类型不被允许等等。在PHP中，这些错误代码可以通过$_FILES数组的error元素来获取。上面提到了$_FILES数组，其中error的值如下：

– UPLOAD_ERR_OK（值为0）表示文件上传成功
– UPLOAD_ERR_INI_SIZE（值为1）表示文件大小超出php.ini中设置的限制
– UPLOAD_ERR_FORM_SIZE（值为2）表示文件大小超出表单中设置的限制
– UPLOAD_ERR_PARTIAL（值为3）表示只有部分文件上传
– UPLOAD_ERR_NO_FILE（值为4）表示没有文件上传
– UPLOAD_ERR_NO_TMP_DIR（值为6）表示找不到临时文件目录
– UPLOAD_ERR_CANT_WRITE（值为7）表示文件写入失败
– UPLOAD_ERR_EXTENSION（值为8）表示文件上传被扩展阻止

针对这些错误，我们可以配置对应的错误处理。以下是一个处理错误的例子：

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $file = $_FILES['my_file'];
    $file_name = $file['name'];
    $tmp_name = $file['tmp_name'];
    $file_path = 'uploads/' . $file_name;
    switch ($file['error']) {
        case UPLOAD_ERR_OK:
            if (move_uploaded_file($tmp_name, $file_path)) {
                echo '文件上传成功';
            } else {
                echo '文件上传失败';
            }
            break;
        case UPLOAD_ERR_INI_SIZE:
            echo '上传的文件超出了php.ini中设置的大小限制';
            break;
        case UPLOAD_ERR_FORM_SIZE:
            echo '上传的文件超出了表单中设置的大小限制';
            break;
        case UPLOAD_ERR_PARTIAL:
            echo '只有部分文件被上传';
            break;
        case UPLOAD_ERR_NO_FILE:
            echo '没有文件被上传';
            break;
        case UPLOAD_ERR_NO_TMP_DIR:
            echo '找不到临时文件目录';
            break;
        case UPLOAD_ERR_CANT_WRITE:
            echo '文件写入失败';
            break;
        case UPLOAD_ERR_EXTENSION:
            echo '文件上传被某个扩展阻止';
            break;
    }
}

四、安全问题

文件上传是一个具有安全风险的操作。攻击者可以通过恶意文件上传，来破坏服务器和网站的安全。因此，在进行文件上传时，需要时刻注意安全问题。以下是一些常见的安全问题与对应的解决方案。

1. 文件类型检查

为了防止用户上传不安全的文件，需要对上传的文件进行类型检查。可以使用mime_content_type或者finfo_file函数来获取文件的MIME类型，然后与安全的MIME类型做比对。以下是一个检查文件类型的示例：

$allow_types = ['image/jpeg', 'image/png', 'image/gif'];
$file_type = mime_content_type($tmp_name);
if (in_array($file_type, $allow_types)) {
    // ...
} else {
    echo '上传的文件类型不被允许';
}

2. 文件名检查

攻击者可能通过文件名来绕过文件类型检查。因此，在保存上传的文件时，需要对文件名做处理。比如可以过滤掉非法字符，或者为每个文件生成一个唯一的文件名。以下是一个过滤文件名的示例：

$filename = preg_replace('/[^\w\._]+/', '', $filename);

3. 存储路径检查

攻击者可能通过构造恶意的存储路径来破坏服务器的安全。因此，在保存上传的文件时，需要对存储路径做处理。比如可以限制存储路径只能储存在特定的目录下，或者通过htaccess文件来禁止访问储存路径。以下是一个对存储路径进行限制的示例：

$allow_dirs = ['uploads', 'files'];
$path_parts = pathinfo($file_path);
if (in_array($path_parts['dirname'], $allow_dirs)) {
    // ...
} else {
    echo '存储路径不被允许';
}

五、总结

move_uploaded_file函数是PHP文件上传中一个非常常用的函数。在使用该函数时，需要注意安全问题，并且处理上传文件的错误。只有在对每个细节都做好处理的情况下，才能保证文件上传功能的安全和可靠。