php $_files如何安全使用

$_FILES 是 PHP 中用于处理 HTTP 文件上传的预定义全局数组。要安全地使用 $_FILES，请遵循以下步骤：

1. 检查文件是否已上传： 使用 isset() 函数检查 $_FILES 中的特定文件是否存在。例如，检查名为 “file_upload” 的文件是否已上传：

   if (isset($_FILES['file_upload'])) {
       // 文件已上传，继续处理
   } else {
       // 文件未上传，返回错误信息
   }
   

2. 检查文件大小： 在处理文件之前，检查其大小是否在允许的范围内。可以通过 $_FILES['file_upload']['size'] 获取文件大小（以字节为单位）。例如，检查文件大小是否小于 1MB：

   $max_file_size = 1048576; // 1MB
   if ($_FILES['file_upload']['size'] > $max_file_size) {
       // 文件过大，返回错误信息
   }
   

3. 检查文件类型： 确保上传的文件类型是允许的类型。可以通过 $_FILES['file_upload']['type'] 获取文件类型。例如，只允许上传 JPEG 图像：

   $allowed_types = ['image/jpeg', 'image/png'];
   if (!in_array($_FILES['file_upload']['type'], $allowed_types)) {
       // 文件类型不允许，返回错误信息
   }
   

4. 检查文件是否有效： 在处理文件之前，确保它是有效的。可以使用 PHP 的 move_uploaded_file() 函数将文件移动到目标目录。如果文件无效，该函数将返回 false。例如：

   $target_directory = 'uploads/';
   $target_file = $target_directory . basename($_FILES['file_upload']['name']);
   
   if (move_uploaded_file($_FILES['file_upload']['tmp_name'], $target_file)) {
       // 文件有效，继续处理
   } else {
       // 文件无效，返回错误信息
   }
   

5. 对上传的文件进行验证： 使用第三方库（如 PHP Fileinfo）对上传的文件进行验证，以确保其符合预期的格式和内容。

6. 使用 CSRF 令牌： 为了防止跨站请求伪造（CSRF）攻击，请在处理文件上传时包含 CSRF 令牌。可以使用 PHP-CSRF 等库生成和验证令牌。

遵循这些步骤可以确保在使用 $_FILES 时更加安全。请注意，这只是一个基本的指南，实际应用可能需要根据具体需求进行调整。