PHP給我?guī)砹烁奖愕木幊?，但是我們?cè)谑褂脮r(shí)以會(huì)遇到問題，這里就談?wù)凱HP上傳大文件的小問題吧。由于涉及到本地和服務(wù)器兩方面的安全問題，所以基于input type="file"形式的頁面文件上傳一直處于一個(gè)很尷尬的位置。一方面，用戶不希望隱私泄露，所以瀏覽器無法對(duì)用戶在上傳時(shí)選擇的文件做有效的判斷。另一方面，為了服務(wù)器端的安全，減輕傳輸負(fù)擔(dān)，系統(tǒng)又希望能在用戶開始上傳之前就將非法的文件拒之門外。

一來一去，基于原始input方式的上傳，成為網(wǎng)絡(luò)存儲(chǔ)網(wǎng)站避之唯恐不及的遺留性問題，也造就了現(xiàn)在千奇百怪的插件、上傳客戶端。input方式的上傳就如此之差么？當(dāng)然不是。上傳文件不大的時(shí)候，它還是非常簡單可靠的，在PHP中，我們只需要一個(gè)復(fù)合型表單。

<form enctype="multipart/form-data" action="__URL__" method="POST"> 
一個(gè)輸入框  
<input name="userfile" type="file" /> 
和服務(wù)器端的一行代碼  
move_uploaded_file($_FILES['userfile']['tmp_name'], '/var/www/uploads/'. basename($_FILES['userfile']['name'])); 

就可以實(shí)現(xiàn)整個(gè)上傳過程。但隨文件增大，表單上傳的不足就會(huì)暴露出來。尤其是我們想取得最基本的文件大小來阻止PHP上傳大文件這一簡單的想法，也變得如此困難。以下一一道來：通過MAX_FILE_SIZ。我們經(jīng)常會(huì)在手冊(cè)里讀到:

#T#MAX_FILE_SIZE 隱藏字段（單位為字節(jié)）必須放在文件輸入字段之前，其值為接收文件的***尺寸。這是對(duì)瀏覽器的一個(gè)建議，PHP 也會(huì)檢查此項(xiàng)。在瀏覽器端可以簡單繞過此設(shè)置，因此不要指望用此特性來阻擋大文件。實(shí)際上，PHP 設(shè)置中的上傳文件***值是不會(huì)失效的。但是***還是在表單中加上此項(xiàng)目，因?yàn)樗梢员苊庥脩粼诨〞r(shí)間等待上傳大文件之后才發(fā)現(xiàn)文件過大上傳失敗的麻煩。

顯然PHP的開發(fā)者們也考慮到了PHP上傳大文件的問題，但就像手冊(cè)所說，MAX_FILE_SIZE只是對(duì)瀏覽器的一個(gè)建議，事實(shí)上目前為止所有主流的瀏覽器并沒有采納這個(gè)建議，所以采用MAX_FILE_SIZE約束文件大小形同擺設(shè)，不可行。

通過服務(wù)器端

MAX_FILE_SIZE既然無效，那么用戶可以將文件上傳到服務(wù)器，服務(wù)器端通過$_FILES['userfile']['size']判斷用戶上傳的文件大小，然后決定是否接受上傳并返回信息。暫且排除服務(wù)器的負(fù)荷以及可能存在的惡意破壞行為，這種解決方案聽起來無非是浪費(fèi)一部分帶寬，也能對(duì)用戶上傳文件作出約束。但這也是不可行的，PHP的文件上傳受到php.ini以下這些設(shè)置的影響:

post_max_size  
upload_max_filesize  
max_execution_time  
memory_limit 

雖然設(shè)置方法在手冊(cè)中都有比較詳細(xì)的說明，之所以仍然說此方法不可行，是因?yàn)閜hp執(zhí)行腳本在超過memory_limit時(shí)，該次的POST數(shù)據(jù)會(huì)全部丟失并且不會(huì)報(bào)錯(cuò)！試想用戶填寫了一個(gè)超長的表單，并伴隨一個(gè)超過memory_limit的文件一起上傳，經(jīng)過了漫長的等待時(shí)間之后發(fā)現(xiàn)等來的又是一張干干凈凈的空白表單，那是何等印象深刻的用戶體驗(yàn)啊。更何況數(shù)十M的服務(wù)器流量僅僅用來檢測(cè)文件大小，是現(xiàn)在的網(wǎng)絡(luò)環(huán)境不允許的。