17370845950

PHP文件上传依赖$_FILES数组与三个核心函数协同完成：move_uploaded_file()（唯一安全移动函数）、检查$_FILES'x'（权威错误码）和is_uploaded_file()（上传来源二次验证），缺一不可。

PHP 文件上传不靠单个函数，而是靠 $_FILES 超全局数组 + 一组配套函数协同完成。核心函数只有 3 个，但漏掉任意一个都可能导致上传失败、文件丢失或安全漏洞。

处理上传临时文件必须用 move_uploaded_file()

这是唯一被 PHP 官方明确推荐用于移动上传文件的函数。它会校验 $_FILES['xxx']['tmp_name'] 是否真是通过 HTTP POST 上传的临时文件，防止路径遍历或伪造文件攻击。

• 不能用 copy() 或 rename() 替代 —— 它们不校验上传来源，存在严重安全隐患
• 目标路径必须是绝对路径或相对于当前脚本的可写目录，且目录需提前 mkdir() 创建并设好权限（如 0755）
• 返回 true 表示成功，false 说明失败（常见原因：目标目录不可写、磁盘满、SELinux 限制）

if (move_uploaded_file($_FILES['avatar']['tmp_name'], '/var/www/uploads/avatar.jpg')) {
    echo '上传成功';
} else {
    error_log('move_uploaded_file 失败：' . print_r($_FILES['avatar'], true));
}

判断上传是否出错得看 $_FILES['field']['error'] 值

这个整型值才是上传状态的唯一权威依据，不是检查 tmp_name 是否为空，也不是靠 is_uploaded_file() 掩盖问题。

• 0：上传成功
• 1 或 2：超出了 php.ini 中的 upload_max_filesize 或 MAX_FILE_SIZE 隐藏字段限制
• 3：文件只有部分被上传（网络中断等）
• 4：没有文件被上传（表单空提交）
• 6–8：临时目录缺失、PHP 扩展未启用、未知错误

务必在调用 move_uploaded_file() 前检查该值，否则可能把错误状态的空临时文件“移动”过去。

验证上传来源必须用 is_uploaded_file()

它和 move_uploaded_file() 内部使用同一套校验逻辑，用于在移动前做二次确认（尤其在调试或日志中）。

• 仅对 $_FILES['x']['tmp_name'] 有效，对普通文件路径返回 false
• 不是必须调用，但加上能避免因开发误传路径导致的静默失败
• 不能替代 $_FILES['x']['error'] === 0 的判断 —— 错误码为非零时，即使 is_uploaded_file() 返回 true 也不代表可用

if ($_FILES['photo']['error'] === 0 && is_uploaded_file($_FILES['photo']['tmp_name'])) {
    // 安全地处理上传
}

真正容易被忽略的是：上传功能依赖 php.ini 里至少 4 项配置生效（file_uploads、upload_max_filesize、post_max_size、max_execution_time），而这些不会在函数报错信息里直接提示。上线前务必用 phpinfo() 或 ini_get() 核对。