PHP $ _FILES [‘userfile‘] [‘name‘ ] 和 $ _FILES [‘userfile‘] [‘tmp

在PHP中，当你通过HTML表单上传文件时，PHP会将与上传文件相关的所有信息存储在全局数组$_FILES中。这个数组是一个多维数组，其中包含了关于每个上传文件的详细信息。$_FILES['userfile']是这个多维数组中的一个元素，它代表了名为userfile的<input type="file">表单元素上传的文件。这里，userfile是表单中<input>元素的name属性值。

`$_FILES['userfile']['name']`

含义：这个数组元素包含了上传文件的原始名称，即用户在他们的计算机上为该文件指定的名称。这个名称可能包括文件的扩展名，例如example.jpg。
用途：这个值通常用于显示给用户看，或者在将文件保存到服务器时用作文件名的一部分（尽管出于安全考虑，通常不建议直接使用这个值作为最终文件名）。
注意事项：
- 在某些操作系统（特别是Windows）上，上传的文件名可能包含路径信息。然而，PHP通常会尝试从文件名中剥离路径，只保留实际的文件名。
- 如果用户尝试上传一个不存在的文件，或者文件上传失败，这个值可能是空的或者未定义的。
- 出于安全考虑，你不应该完全依赖这个值来确定文件的类型或内容，因为用户可以轻松地更改文件的扩展名。

`$_FILES['userfile']['tmp_name']`

含义：这个数组元素包含了上传文件在服务器上的临时存储位置。当文件通过HTTP POST请求上传到服务器时，PHP会将其临时存储在一个由PHP配置文件（通常是php.ini）中的upload_tmp_dir指令指定的目录中（如果未设置，则使用系统默认的临时目录）。文件名是由PHP生成的，通常是随机的，以确保唯一性。
用途：这个值在文件上传处理过程中至关重要，因为你需要使用它来读取上传的文件内容，或者将其移动到服务器上的永久位置。
注意事项：
- 临时文件在脚本执行结束后会被自动删除，除非你在脚本中明确地将文件移动到了另一个位置。
- 由于临时文件的名称和位置是由PHP生成的，因此你不应该试图在脚本之外访问这些文件。
- 出于安全考虑，你应该始终验证上传的文件，以确保它符合你的期望（例如，通过检查文件大小、类型和内容）。

文件上传处理流程

在处理文件上传时，通常会遵循以下步骤：

检查文件是否成功上传：使用$_FILES['userfile']['error']来检查是否有任何上传错误发生。如果error元素的值为UPLOAD_ERR_OK（即0），则表示文件成功上传。
验证文件：
- 检查文件大小是否超过了你允许的最大值。
- 检查文件的MIME类型或扩展名，以确保它是你期望的类型。
- （可选）使用函数如finfo_file()或mime_content_type()来更准确地确定文件的MIME类型。
生成唯一的文件名：为了避免文件名冲突和潜在的安全问题，你应该生成一个唯一的文件名来保存上传的文件。这可以通过结合时间戳、随机数或用户ID来实现。
移动文件：使用move_uploaded_file()函数将临时文件移动到服务器上的永久位置。这个函数是专门用于移动上传的文件的，它会进行必要的安全检查。
记录文件信息：将文件的存储位置、原始名称、上传时间等信息存储到数据库中，以便将来使用。
清理：确保在脚本结束时没有留下未处理的临时文件。虽然PHP通常会自动删除这些文件，但自己进行清理是一个好习惯。

安全考虑

在处理文件上传时，必须始终牢记安全。以下是一些重要的安全建议：

验证文件类型：不要仅仅依赖文件的扩展名来确定文件的类型。使用更可靠的方法，如检查文件的MIME类型或文件内容。
限制文件大小：设置合理的文件大小限制，以防止用户上传过大的文件。
生成唯一的文件名：使用唯一的文件名来避免文件名冲突和潜在的安全问题。
存储文件在Web根目录之外：不要将上传的文件存储在Web服务器的根目录或公共可访问的目录中。相反，将它们存储在一个受保护的目录中，并通过脚本提供对文件的访问。
检查上传错误：始终检查$_FILES['userfile']['error']来确定是否有任何上传错误发生。
使用适当的权限：确保上传的文件和存储它们的目录具有适当的权限设置，以防止未经授权的访问或修改。

结论

$_FILES['userfile']['name']和$_FILES['userfile']['tmp_name']在文件上传处理过程中扮演着不同的角色。name元素包含了上传文件的原始名称，而tmp_name元素则包含了文件在服务器上的临时存储位置。了解这些区别以及如何处理上传的文件对于确保Web应用程序的安全性和可靠性至关重要。通过遵循最佳实践和安全建议，你可以有效地处理文件上传并保护你的Web应用程序免受潜在的安全威胁。