PHP move_uploaded_file函數用法詳解

在前後端分離的web應用中，文件上傳是一個非常基礎的功能。而PHP的move_uploaded_file函數是其中一個非常常用的函數，用於將上傳的文件移動到具體位置。本文將從以下幾個方面來詳細介紹該函數的用法。

一、選取上傳的文件

在使用move_uploaded_file函數之前，首先需要選取需要上傳的文件。在前端，可以使用input標籤的type=file屬性，以及form標籤的enctype屬性來實現文件上傳功能。在後端，可以通過$_FILES數組來獲取上傳的文件。一般情況下，該數組包含4個元素：name、type、tmp_name、error。其中，name表示上傳的文件名，type表示上傳文件的MIME類型，tmp_name表示上傳文件的臨時儲存位置，error表示上傳文件的錯誤代碼。

下面是一個上傳文件的例子：

在後端可以使用以下代碼來獲取上傳的文件：

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $file = $_FILES['my_file'];
}

二、移動上傳文件

得到上傳的文件後，就需要將它移動到具體位置。這是move_uploaded_file函數的功能。該函數的語法如下：

bool move_uploaded_file ( string $filename , string $destination )

其中，$filename表示上傳文件的臨時儲存位置，$destination表示該文件在服務器上最終儲存的位置。如果移動成功，該函數會返回true；如果移動失敗，會返回false。

下面是一個移動上傳文件的例子：

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $file = $_FILES['my_file'];
    $file_name = $file['name'];
    $tmp_name = $file['tmp_name'];
    $file_path = 'uploads/' . $file_name;
    if (move_uploaded_file($tmp_name, $file_path)) {
        echo '文件上傳成功';
    } else {
        echo '文件上傳失敗';
    }
}

上面的例子將上傳的文件在服務器保存到了uploads目錄下。

三、處理上傳文件的錯誤

在處理文件上傳時，可能會遇到各種各樣的錯誤。比如文件大小超出了限制，或者上傳的文件類型不被允許等等。在PHP中，這些錯誤代碼可以通過$_FILES數組的error元素來獲取。上面提到了$_FILES數組，其中error的值如下：

– UPLOAD_ERR_OK（值為0）表示文件上傳成功
– UPLOAD_ERR_INI_SIZE（值為1）表示文件大小超出php.ini中設置的限制
– UPLOAD_ERR_FORM_SIZE（值為2）表示文件大小超出表單中設置的限制
– UPLOAD_ERR_PARTIAL（值為3）表示只有部分文件上傳
– UPLOAD_ERR_NO_FILE（值為4）表示沒有文件上傳
– UPLOAD_ERR_NO_TMP_DIR（值為6）表示找不到臨時文件目錄
– UPLOAD_ERR_CANT_WRITE（值為7）表示文件寫入失敗
– UPLOAD_ERR_EXTENSION（值為8）表示文件上傳被擴展阻止

針對這些錯誤，我們可以配置對應的錯誤處理。以下是一個處理錯誤的例子：

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $file = $_FILES['my_file'];
    $file_name = $file['name'];
    $tmp_name = $file['tmp_name'];
    $file_path = 'uploads/' . $file_name;
    switch ($file['error']) {
        case UPLOAD_ERR_OK:
            if (move_uploaded_file($tmp_name, $file_path)) {
                echo '文件上傳成功';
            } else {
                echo '文件上傳失敗';
            }
            break;
        case UPLOAD_ERR_INI_SIZE:
            echo '上傳的文件超出了php.ini中設置的大小限制';
            break;
        case UPLOAD_ERR_FORM_SIZE:
            echo '上傳的文件超出了表單中設置的大小限制';
            break;
        case UPLOAD_ERR_PARTIAL:
            echo '只有部分文件被上傳';
            break;
        case UPLOAD_ERR_NO_FILE:
            echo '沒有文件被上傳';
            break;
        case UPLOAD_ERR_NO_TMP_DIR:
            echo '找不到臨時文件目錄';
            break;
        case UPLOAD_ERR_CANT_WRITE:
            echo '文件寫入失敗';
            break;
        case UPLOAD_ERR_EXTENSION:
            echo '文件上傳被某個擴展阻止';
            break;
    }
}

四、安全問題

文件上傳是一個具有安全風險的操作。攻擊者可以通過惡意文件上傳，來破壞服務器和網站的安全。因此，在進行文件上傳時，需要時刻注意安全問題。以下是一些常見的安全問題與對應的解決方案。

1. 文件類型檢查

為了防止用戶上傳不安全的文件，需要對上傳的文件進行類型檢查。可以使用mime_content_type或者finfo_file函數來獲取文件的MIME類型，然後與安全的MIME類型做比對。以下是一個檢查文件類型的示例：

$allow_types = ['image/jpeg', 'image/png', 'image/gif'];
$file_type = mime_content_type($tmp_name);
if (in_array($file_type, $allow_types)) {
    // ...
} else {
    echo '上傳的文件類型不被允許';
}

2. 文件名檢查

攻擊者可能通過文件名來繞過文件類型檢查。因此，在保存上傳的文件時，需要對文件名做處理。比如可以過濾掉非法字符，或者為每個文件生成一個唯一的文件名。以下是一個過濾文件名的示例：

$filename = preg_replace('/[^\w\._]+/', '', $filename);

3. 存儲路徑檢查

攻擊者可能通過構造惡意的存儲路徑來破壞服務器的安全。因此，在保存上傳的文件時，需要對存儲路徑做處理。比如可以限制存儲路徑只能儲存在特定的目錄下，或者通過htaccess文件來禁止訪問儲存路徑。以下是一個對存儲路徑進行限制的示例：

$allow_dirs = ['uploads', 'files'];
$path_parts = pathinfo($file_path);
if (in_array($path_parts['dirname'], $allow_dirs)) {
    // ...
} else {
    echo '存儲路徑不被允許';
}

五、總結

move_uploaded_file函數是PHP文件上傳中一個非常常用的函數。在使用該函數時，需要注意安全問題，並且處理上傳文件的錯誤。只有在對每個細節都做好處理的情況下，才能保證文件上傳功能的安全和可靠。