17370845950

PHP多文件上传时$_FILES结构是二维关联数组，需按索引重组为单文件列表，并逐个验证is_uploaded_file、扩展名白名单、图片真实性、大小及重命名安全性。

PHP 多文件上传的 $_FILES 结构必须先看懂

PHP 不会自动把多个同名 的文件合并成一个数组——它生成的是一个**二维关联数组**，结构固定。如果没意识到这点，foreach($_FILES['files'] as $file) 会直接遍历字段名（name、tmp_name 等），而不是单个文件，这是最常踩的坑。

正确结构示例（3 个文件）：

$_FILES['files'] = [
    'name'     => ['a.jpg', 'b.pdf', 'c.txt'],
    'tmp_name' => ['/tmp/phpabc123', '/tmp/phpdef456', '/tmp/phpghi789'],
    'size'     => [10240, 204800, 512],
    'error'    => [0, 0, 0],
    'type'     => ['image/jpeg', 'application/pdf', 'text/plain']
];

所以要按索引重组为文件列表：

$files = [];
for ($i = 0; $i < count($_FILES['files']['name']); $i++) {
    if ($_FILES['files']['error'][$i] === UPLOAD_ERR_OK) {
        $files[] = [
            'name'     => $_FILES['files']['name'][$i],
            'tmp_name' => $_FILES['files']['tmp_name'][$i],
            'size'     => $_FILES['files']['size'][$i],
            'type'     => $_FILES['files']['type'][$i],
            'error'    => $_FILES['files']['error'][$i]
        ];
    }
}

用 move_uploaded_file() 移动前必须逐个验证

不能只检查 error === 0 就直接移动——攻击者可伪造 $_FILES 或绕过前端限制。每个文件都需独立验证：

• is_uploaded_file($file['tmp_name']) 必须为 true（防止本地文件路径伪造）
• 用 pathinfo($file['name'], PATHINFO_EXTENSION) 提取扩展名，再比对白名单（不要信任 $file['type']，它由浏览器发送，完全不可信）
• 用 getimagesize($file['tmp_name']) 验证图片真实性（仅对图片类型）
• 检查 $file['size'] 是否超过业务允许上限（如 5MB），注意还要和 upload_max_filesize、post_max_size 配置对齐

前端

和 PHP 配置容易漏掉的关键项

多文件上传失败，80% 出在配置没调对，不是代码问题：

• HTML 表单必须带 enctype="multipart/form-data"，缺了就根本不会传文件
• PHP 的 max_file_uploads 默认是 20，如果一次传 30 个，后 10 个会被静默丢弃（$_FILES 里根本不会出现）
• post_max_size 要 ≥ 所有文件总大小 + 其他表单字段开销，否则整个请求被截断，$_FILES 为空
• Apache 的 LimitRequestBody 或 Nginx 的 client_max_body_size 也得同步放开

建议在上传前加服务端兜底检测：

if (ini_get('max_file_uploads') < count($_FILES['files']['name'])) {
    die('超出服务器允许的最大上传数');
}

重命名文件时别用原始 $_FILES['name'] 直接拼路径

原始文件名可能含 ../、空字节、控制字符或超长路径，直接拼接会导致目录穿越或写入失败。安全做法：

• 用 basename() 去掉路径部分
• 用正则过滤掉非字母数字、下划线、短横线（/[^a-zA-Z0-9_\-.]/）
• 强制添加唯一前缀（如 uniqid() . '_' . $safe_name）
• 目标目录必须是绝对路径，且 PHP 进程有写权限；不要用 ./uploads/ 这类相对路径

错误示范：$dest = 'uploads/' . $_FILES['files']['name'][$i];
正确示范：

$ext = strtolower(pathinfo($file['name'], PATHINFO_EXTENSION));
$safe_name = preg_replace('/[^a-zA-Z0-9_\-.]/', '', basename($file['name']));
$new_name = uniqid('up_') . '.' . ($ext ?: 'bin');
$dest = '/var/www/uploads/' . $new_name;

上传完成后记得 chmod 644 $dest（如果需要 Web 可读但不可执行）。