PHP給我帶來了更方便的編程,但是我們在使用時以會遇到問題,這裡就談談PHP上傳大文件的小問題吧。由於涉及到本地和服務器兩方面的安全問題,所以基於input type="file"形式的頁面文件上傳一直處於一個很尴尬的位置。一方面,用戶不希望隱私洩露,所以浏覽器無法對用戶在上傳時選擇的文件做有效的判斷。另一方面,為了服務器端的安全,減輕傳輸負擔,系統又希望能在用戶開始上傳之前就將非法的文件拒之門外。
一來一去,基於原始input方式的上傳,成為網絡存儲網站避之唯恐不及的遺留性問題,也造就了現在千奇百怪的插件、上傳客戶端。input方式的上傳就如此之差麼?當然不是。上傳文件不大的時候,它還是非常簡單可靠的,在PHP中,我們只需要一個復合型表單。
- <form enctype="multipart/form-data" action="__URL__" method="POST">
- 一個輸入框
- <input name="userfile" type="file" />
- 和服務器端的一行代碼
- move_uploaded_file($_FILES['userfile']['tmp_name'], '/var/www/uploads/'. basename($_FILES['userfile']['name']));
就可以實現整個上傳過程。但隨文件增大,表單上傳的不足就會暴露出來。尤其是我們想取得最基本的文件大小來阻止PHP上傳大文件這一簡單的想法,也變得如此困難。以下一一道來:通過MAX_FILE_SIZ。我們經常會在手冊裡讀到:
顯然PHP的開發者們也考慮到了PHP上傳大文件的問題,但就像手冊所說,MAX_FILE_SIZE只是對浏覽器的一個建議,事實上目前為止所有主流的浏覽器並沒有采納這個建議,所以采用MAX_FILE_SIZE約束文件大小形同擺設,不可行。
通過服務器端
MAX_FILE_SIZE既然無效,那麼用戶可以將文件上傳到服務器,服務器端通過$_FILES['userfile']['size']判斷用戶上傳的文件大小,然後決定是否接受上傳並返回信息。暫且排除服務器的負荷以及可能存在的惡意破壞行為,這種解決方案聽起來無非是浪費一部分帶寬,也能對用戶上傳文件作出約束。但這也是不可行的,PHP的文件上傳受到php.ini以下這些設置的影響:
- post_max_size
- upload_max_filesize
- max_execution_time
- memory_limit
雖然設置方法在手冊中都有比較詳細的說明,之所以仍然說此方法不可行,是因為php執行腳本在超過memory_limit時,該次的POST數據會全部丟失並且不會報錯!試想用戶填寫了一個超長的表單,並伴隨一個超過memory_limit的文件一起上傳,經過了漫長的等待時間之後發現等來的又是一張干干淨淨的空白表單,那是何等印象深刻的用戶體驗啊。更何況數十M的服務器流量僅僅用來檢測文件大小,是現在的網絡環境不允許的。
