PHP給我?guī)砹烁奖愕木幊蹋俏覀冊谑褂脮r以會遇到問題，這里就談?wù)凱HP上傳大文件的小問題吧。由于涉及到本地和服務(wù)器兩方面的安全問題，所以基于input type="file"形式的頁面文件上傳一直處于一個很尷尬的位置。一方面，用戶不希望隱私泄露，所以瀏覽器無法對用戶在上傳時選擇的文件做有效的判斷。另一方面，為了服務(wù)器端的安全，減輕傳輸負(fù)擔(dān)，系統(tǒng)又希望能在用戶開始上傳之前就將非法的文件拒之門外。

一來一去，基于原始input方式的上傳，成為網(wǎng)絡(luò)存儲網(wǎng)站避之唯恐不及的遺留性問題，也造就了現(xiàn)在千奇百怪的插件、上傳客戶端。input方式的上傳就如此之差么？當(dāng)然不是。上傳文件不大的時候，它還是非常簡單可靠的，在PHP中，我們只需要一個復(fù)合型表單。

<form enctype="multipart/form-data" action="__URL__" method="POST"> 
一個輸入框  
<input name="userfile" type="file" /> 
和服務(wù)器端的一行代碼  
move_uploaded_file($_FILES['userfile']['tmp_name'], '/var/www/uploads/'. basename($_FILES['userfile']['name'])); 

就可以實現(xiàn)整個上傳過程。但隨文件增大，表單上傳的不足就會暴露出來。尤其是我們想取得最基本的文件大小來阻止PHP上傳大文件這一簡單的想法，也變得如此困難。以下一一道來：通過MAX_FILE_SIZ。我們經(jīng)常會在手冊里讀到:

#T#MAX_FILE_SIZE 隱藏字段（單位為字節(jié)）必須放在文件輸入字段之前，其值為接收文件的***尺寸。這是對瀏覽器的一個建議，PHP 也會檢查此項。在瀏覽器端可以簡單繞過此設(shè)置，因此不要指望用此特性來阻擋大文件。實際上，PHP 設(shè)置中的上傳文件***值是不會失效的。但是***還是在表單中加上此項目，因為它可以避免用戶在花時間等待上傳大文件之后才發(fā)現(xiàn)文件過大上傳失敗的麻煩。

顯然PHP的開發(fā)者們也考慮到了PHP上傳大文件的問題，但就像手冊所說，MAX_FILE_SIZE只是對瀏覽器的一個建議，事實上目前為止所有主流的瀏覽器并沒有采納這個建議，所以采用MAX_FILE_SIZE約束文件大小形同擺設(shè)，不可行。

通過服務(wù)器端

MAX_FILE_SIZE既然無效，那么用戶可以將文件上傳到服務(wù)器，服務(wù)器端通過$_FILES['userfile']['size']判斷用戶上傳的文件大小，然后決定是否接受上傳并返回信息。暫且排除服務(wù)器的負(fù)荷以及可能存在的惡意破壞行為，這種解決方案聽起來無非是浪費一部分帶寬，也能對用戶上傳文件作出約束。但這也是不可行的，PHP的文件上傳受到php.ini以下這些設(shè)置的影響:

post_max_size  
upload_max_filesize  
max_execution_time  
memory_limit 

雖然設(shè)置方法在手冊中都有比較詳細(xì)的說明，之所以仍然說此方法不可行，是因為php執(zhí)行腳本在超過memory_limit時，該次的POST數(shù)據(jù)會全部丟失并且不會報錯！試想用戶填寫了一個超長的表單，并伴隨一個超過memory_limit的文件一起上傳，經(jīng)過了漫長的等待時間之后發(fā)現(xiàn)等來的又是一張干干凈凈的空白表單，那是何等印象深刻的用戶體驗啊。更何況數(shù)十M的服務(wù)器流量僅僅用來檢測文件大小，是現(xiàn)在的網(wǎng)絡(luò)環(huán)境不允許的。