PHP 文件上傳原理

一、上傳文件的概念

上傳文件，是指將一個文件從本地主機上傳到遠程伺服器上，本地主機需要向遠程伺服器發送一定的數據，遠程伺服器接收到這些數據後，就可以將數據解析並保存起來。在PHP中，文件上傳通常是通過上傳表單來完成的。

二、上傳表單的創建

PHP的上傳表單由HTML和PHP語言共同構成，HTML語言用來定義表單的結構，PHP語言用來處理表單提交後的數據。一個上傳表單通常包含以下部分：

<form action="upload.php" method="post" enctype="multipart/form-data">
    <label for="fileUpload">選擇文件:</label>
    <input type="file" name="fileUpload" id="fileUpload">
    <input type="submit" value="上傳">
</form>

表單的相關組成部分說明如下：

• action屬性：表單提交後數據傳輸到的目標鏈接，這裡是上傳處理PHP文件
• method屬性：表單提交的HTTP方法，POST方法適合上傳大量數據
• enctype屬性：表單的編碼方式，必須設置為multipart/form-data
• label元素：為上傳文件表單增加說明文本
• input元素：type屬性為file，name屬性為fileUpload，id屬性為fileUpload，用來選擇上傳的文件
• submit元素：表單提交按鈕

三、伺服器端處理文件

上傳的文件會被伺服器臨時存儲在一個臨時目錄中，使用glob()函數可以獲取到該目錄下的所有文件名：

if ($_FILES['fileUpload']['error'] == UPLOAD_ERR_OK) {
    $tmp_name = $_FILES['fileUpload']['tmp_name'];
    $path_parts = pathinfo($_FILES['fileUpload']['name']);
    $file_ext = $path_parts['extension'];
    $new_name = uniqid() . '.' . $file_ext;

    move_uploaded_file($tmp_name, "uploads/{$new_name}");
}

代碼解釋：

• $_FILES[‘fileUpload’][‘error’]：錯誤碼，如果文件上傳成功，該變數為UPLOAD_ERR_OK
• $_FILES[‘fileUpload’][‘tmp_name’]：伺服器端臨時文件目錄
• pathinfo()函數：獲取上傳文件的信息，如文件名、文件類型、文件大小等，存放在$path_parts變數中
• uniqid()函數：生成唯一的文件名
• move_uploaded_file()函數：將上傳的文件移動到指定目錄中

四、文件類型和大小的驗證

在上傳文件時，通常需要對文件類型和大小進行驗證，以防止上傳非法文件或過大的文件造成伺服器資源的浪費。PHP提供了一些函數來進行文件類型和大小的驗證。如下所示：

$allowed_types = ['image/jpeg', 'image/png'];
$max_size = 1024; // 1MB

if (in_array($_FILES['fileUpload']['type'], $allowed_types) && $_FILES['fileUpload']['size'] <= $max_size * 1024) {
    // 文件類型和大小驗證通過，執行上傳操作
}
else {
    // 文件類型或大小驗證失敗，輸出錯誤信息
}

代碼解釋：

• 判斷文件類型是否在$allowed_types數組中
• $_FILES[‘fileUpload’][‘type’]獲取上傳文件的MIME類型
• 判斷文件大小是否小於$max_size * 1024
• $_FILES[‘fileUpload’][‘size’]獲取上傳文件的大小，單位為位元組

五、上傳文件的安全性

上傳文件涉及到安全問題，很容易被黑客利用上傳惡意文件，從而導致伺服器被攻擊。以下是一些上傳文件的安全措施：

• 限制文件上傳類型和大小
• 使用獨特的文件名，防止文件覆蓋和重複上傳
• 禁止執行上傳文件中的腳本
• 使用安全的文件上傳目錄

六、總結

PHP文件上傳是一個常見的功能，在實際開發中，需要謹慎對待文件的類型和大小，並對文件名進行加密。同時，為了確保文件上傳過程的安全性，需要對上傳文件的目錄進行嚴格限制，以免文件上傳被濫用造成安全隱患。