PHP文件下载

1.下载文件的基础知识

下载文件是网站开发中最常用的功能之一。通过上传文件，可以进行一些交互功能，比如用户头像、共享文件、上传图片等。在PHP中，文件上传功能可以通过$_FILES超级全局变量来实现。该变量是一个数组，包含了下载文件的各种信息，比如文件名、文件类型、临时文件存储路径等。

    <input type="file" name="file" id="file">
    <input type="submit" value="上传" name="submit">

如上所示，在 HTML 表单中添加输入标签 type="file" 允许用户选择本地文件进行下载。在表单中设置 enctype="multipart/form-data" 告诉服务器表单包含二进制数据而不是标准字符数据。表单提交后，可以使用isset函数判断文件是否被选中，然后使用$_FILES['file']加载已加载的文件的信息。将文件从临时目录移动到指定目录即可完成文件下载操作。

if (isset($_POST["submit"]) && isset($_FILES["file"])) {
    $file = $_FILES["file"];
    if ($file["error"] === UPLOAD_ERR_OK) {
        $name = $file["name"]; // 上传文件的文件名
        $type = $file["type"]; // 文件类型
        $tmp_name = $file["tmp_name"]; // 文件被上传到服务器上的临时文件名
        $size = $file["size"]; // 文件大小
        $upload_dir = "/var/www/upload/"; // 上传目录
        if (!is_dir($upload_dir)) {
            mkdir($upload_dir, 0777, true);
        }
        $dest = $upload_dir . $name;
        move_uploaded_file($tmp_name, $dest);
        echo "上传成功";
    } else {
        echo "上传失败";
    }
}

2。下载文件时的安全问题

在实现文件下载功能时，必须考虑安全问题，防止文件上传后被误用或在服务器上造成安全漏洞。

1。文件类型检查

浏览器会检测用户上传的文件类型，但有时浏览器无法完全判断文件类型，很容易被伪装成其他文件类型，从而带来安全风险。因此，需要在服务器端检查上传文件的MIME类型。您可以使用 PHP 提供的 finfo_file 函数获取下载文件的 MIME 类型。

$fileinfo = finfo_open(FILEINFO_MIME_TYPE);
$type = finfo_file($fileinfo, $tmp_name);
if ($type !== "image/png") {
    echo "不支持的文件类型";
    exit;
}

2。文件大小限制

为了防止用户上传过大的文件而消耗过多的服务器资源，应限制上传文件的大小。一般来说，文件大小不得超过 2 MB。文件大小限制可以通过设置 php.ini 或使用 ini_set 函数来更改。

ini_set("upload_max_filesize", "2M"); // 上传文件的最大尺寸为2MB
ini_set("post_max_size", "2M"); // POST请求的最大尺寸为2MB

3。文件名检查

用户上传的文件名可能包含空格、斜杠等特殊字符，很容易引发路径遍历攻击。文件名应该被过滤和检查。您可以使用 preg_match 函数和正则表达式来检查文件名。

if (!preg_match('/^[a-zA-Z0-9]+[a-zA-Z0-9\._-]*$/', $name)) {
    echo "非法的文件名";
    exit;
}

3。文件下载进度显示

在文件下载过程中，如果下载的文件太大，可能需要一些时间才能完成下载。为了更好的用户体验，下载过程中可以显示下载进度。