如何使用 md5_file 函数在 PHP 中校验文件上传的合法性？

<span><span><span class="hljs-meta">&lt;?php</span></span><span>
</span><span><span class="hljs-comment">// 这部分代码与文章内容无关，仅作示例展示</span></span><span>
</span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">"欢迎阅读本文！"</span></span><span>;
</span><span><span class="hljs-meta">?&gt;</span></span><span>

&lt;hr&gt;

</span><span><span class="hljs-comment"># 如何使用 md5_file 函数在 PHP 中校验文件上传的合法性？</span></span><span>

在网站开发中，文件上传功能是一个非常常见的需求。然而，为了保障安全性，开发者需要对上传的文件进行校验，防止恶意文件上传带来的风险。PHP 提供了多种文件校验手段，其中 `md5_file` 函数因其简单高效，常用于验证文件完整性和合法性。

</span><span><span class="hljs-comment">## 什么是 md5_file 函数？</span></span><span>

`md5_file` 是 PHP 内置的函数，用于计算指定文件的 MD5 散列值。MD5 是一种广泛使用的哈希算法，可以将任意长度的数据映射成一个固定长度的字符串（</span><span><span class="hljs-number">32</span></span><span>个十六进制字符），常用于校验文件完整性。

函数原型如下：

```php
</span><span><span class="hljs-keyword">string</span></span><span> </span><span><span class="hljs-title function_ invoke__">md5_file</span></span><span>(</span><span><span class="hljs-keyword">string</span></span><span> </span><span><span class="hljs-variable">$filename</span></span><span>, </span><span><span class="hljs-keyword">bool</span></span><span> </span><span><span class="hljs-variable">$binary</span></span><span> = </span><span><span class="hljs-literal">false</span></span><span>)
</span></span>

• $filename：需要计算哈希值的文件路径

• $binary（可选）：是否以二进制形式返回结果，默认返回16进制字符串

为什么用 md5_file 校验文件上传？

在文件上传时，攻击者可能上传恶意代码或篡改文件。通过计算上传文件的 MD5 值，我们可以：

• 验证文件是否在传输过程中被篡改或损坏

• 对比上传文件的 MD5 值和已知安全文件的 MD5，判断文件是否合法

• 防止重复上传相同文件（可用于缓存或去重）

实现步骤

1. 用户上传文件后，PHP 会将文件存储在临时目录。

2. 使用 md5_file 计算该临时文件的 MD5 值。

3. 将计算出的 MD5 与预先定义的合法文件哈希值列表进行比对。

4. 如果匹配，说明文件合法；否则拒绝上传。

示例代码

<span><span><span class="hljs-meta">&lt;?php</span></span><span>
</span><span><span class="hljs-comment">// 假设预定义的合法文件MD5值数组</span></span><span>
</span><span><span class="hljs-variable">$allowed_md5_list</span></span><span> = [
    </span><span><span class="hljs-string">'d41d8cd98f00b204e9800998ecf8427e'</span></span><span>, </span><span><span class="hljs-comment">// 空文件示例</span></span><span>
    </span><span><span class="hljs-string">'5d41402abc4b2a76b9719d911017c592'</span></span><span>, </span><span><span class="hljs-comment">// 示例MD5</span></span><span>
];

</span><span><span class="hljs-comment">// 检查文件是否上传成功</span></span><span>
</span><span><span class="hljs-keyword">if</span></span><span> (</span><span><span class="hljs-keyword">isset</span></span><span>(</span><span><span class="hljs-variable">$_FILES</span></span><span>[</span><span><span class="hljs-string">'upload'</span></span><span>]) &amp;&amp; </span><span><span class="hljs-variable">$_FILES</span></span><span>[</span><span><span class="hljs-string">'upload'</span></span><span>][</span><span><span class="hljs-string">'error'</span></span><span>] === UPLOAD_ERR_OK) {
    </span><span><span class="hljs-variable">$tmp_file</span></span><span> = </span><span><span class="hljs-variable">$_FILES</span></span><span>[</span><span><span class="hljs-string">'upload'</span></span><span>][</span><span><span class="hljs-string">'tmp_name'</span></span><span>];
    
    </span><span><span class="hljs-comment">// 计算上传文件的MD5值</span></span><span>
    </span><span><span class="hljs-variable">$file_md5</span></span><span> = </span><span><span class="hljs-title function_ invoke__">md5_file</span></span><span>(</span><span><span class="hljs-variable">$tmp_file</span></span><span>);
    
    </span><span><span class="hljs-comment">// 判断MD5是否在合法列表中</span></span><span>
    </span><span><span class="hljs-keyword">if</span></span><span> (</span><span><span class="hljs-title function_ invoke__">in_array</span></span><span>(</span><span><span class="hljs-variable">$file_md5</span></span><span>, </span><span><span class="hljs-variable">$allowed_md5_list</span></span><span>)) {
        </span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">"文件上传合法，MD5校验通过。"</span></span><span>;
        </span><span><span class="hljs-comment">// 这里可以执行保存文件等后续操作</span></span><span>
    } </span><span><span class="hljs-keyword">else</span></span><span> {
        </span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">"文件上传不合法，MD5校验失败。"</span></span><span>;
        </span><span><span class="hljs-comment">// 这里可以删除文件或返回错误</span></span><span>
    }
} </span><span><span class="hljs-keyword">else</span></span><span> {
    </span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">"没有检测到上传文件或上传错误。"</span></span><span>;
}
</span><span><span class="hljs-meta">?&gt;</span></span><span>
</span></span>

注意事项

• MD5 已被证明存在碰撞风险，不适合用于密码等高安全需求的场景。但用作文件完整性校验，尤其是对比已知文件，仍然有效。

• 为提高安全性，建议结合文件类型检测（如 MIME 类型）、文件扩展名验证、文件大小限制等多重校验措施。

• 若对安全要求更高，可考虑使用更安全的哈希算法，如 SHA-256 (hash_file('sha256', $filename))

总结

md5_file 函数为 PHP 文件上传安全校验提供了简便有效的手段。通过计算上传文件的 MD5 值，并与合法文件哈希值比对，可以有效阻止非法文件上传，保障网站安全。合理结合其他安全措施，将大幅提升文件上传模块的安全性。

<span></span>