Skip to content
DevLab

Como implementar upload de arquivos em PHP|Guia completo de validação, armazenamento e segurança

Categoria:PHP・Implementação
Este artigo está disponível atualmente apenas em japonês. As versões traduzidas serão publicadas sequencialmente.

Ao implementar a funcionalidade de upload de arquivos em PHP, é fácil escrever código que 「simplesmente funcione」, mas implementar uma solução robusta que considere segurança, validação e tratamento de erros é surpreendentemente complexo. Este artigo explica sistematicamente desde a estrutura de <code>$_FILES</code>, validação de tipo MIME, whitelist de extensões, destinos seguros de armazenamento e sanitização de nomes de arquivo até métodos de implementação utilizáveis em ambiente de produção.

Browser PHP-FPM /tmp uploads/ POST multipart/form-data tmp file write $_FILES populated move_uploaded_file()
Figura: Sequência de processamento de $_FILES (POST → /tmp → move_uploaded_file)

Entender a estrutura de <code>$_FILES</code>

Ao enviar arquivos em um formulário HTML com <code>enctype="multipart/form-data"</code>, o PHP armazena as informações de upload na superglobal <code>$_FILES</code>. Se o atributo <code>name</code> do formulário for <code>userfile</code>, <code>$_FILES['userfile']</code> será um array associativo com as seguintes 5 chaves.

// $_FILES の構造
[
    'name'     => 'photo.jpg',        // クライアント側のファイル名
    'type'     => 'image/jpeg',       // クライアントが申告するMIMEタイプ
    'tmp_name' => '/tmp/phpA1B2C3',   // サーバーの一時保存パス
    'error'    => 0,                  // エラーコード(0 = 成功)
    'size'     => 204800,             // ファイルサイズ(バイト)
]

Como ponto importante, <code>type</code> é um valor enviado pelo cliente e pode ser falsificado. Para validação de tipo MIME, sempre verifique no lado do servidor usando <code>finfo</code>.

Lista de códigos de erro UPLOAD_ERR_* e soluções

<code>$_FILES['userfile']['error']</code> contém um dos valores de constante abaixo. É importante verificar esse valor no início do processo de upload e tratar os erros adequadamente.

Constante Valor Significado Método de solução
UPLOAD_ERR_OK 0 Upload bem-sucedido Continuar processamento
UPLOAD_ERR_INI_SIZE 1 Limite de upload_max_filesize em php.ini excedido Revisar as configurações do php.ini
UPLOAD_ERR_FORM_SIZE 2 Limite MAX_FILE_SIZE do formulário HTML excedido Revisar as configurações do formulário
UPLOAD_ERR_PARTIAL 3 Arquivo transferido apenas parcialmente Incentivar o re-upload
UPLOAD_ERR_NO_FILE 4 Nenhum arquivo foi selecionado Incentivar a seleção de arquivo
UPLOAD_ERR_NO_TMP_DIR 6 Diretório temporário não existe Verificar configurações do servidor
UPLOAD_ERR_CANT_WRITE 7 Falha na gravação do disco Verificar capacidade do disco e permissões
UPLOAD_ERR_EXTENSION 8 Upload interrompido por extensão PHP Verificar configuração do módulo de extensão 
function getUploadErrorMessage(int $errorCode): string
{
    return match ($errorCode) {
        UPLOAD_ERR_INI_SIZE   => 'ファイルサイズがサーバーの上限を超えています。',
        UPLOAD_ERR_FORM_SIZE  => 'ファイルサイズがフォームの上限を超えています。',
        UPLOAD_ERR_PARTIAL    => 'ファイルが完全にアップロードされませんでした。再度お試しください。',
        UPLOAD_ERR_NO_FILE    => 'ファイルが選択されていません。',
        UPLOAD_ERR_NO_TMP_DIR => 'サーバーエラー: 一時ディレクトリが見つかりません。',
        UPLOAD_ERR_CANT_WRITE => 'サーバーエラー: ファイルの書き込みに失敗しました。',
        UPLOAD_ERR_EXTENSION  => 'サーバーエラー: 拡張機能によりアップロードが拒否されました。',
        default               => '不明なエラーが発生しました。',
    };
}

Validação de tipo MIME (usando finfo)

<code>$_FILES['userfile']['type']</code> enviado pelo cliente pode ser falsificado, portanto é necessário determinar o tipo MIME a partir do conteúdo real do arquivo no lado do servidor. Use <code>finfo_file()</code> do PHP (ou a classe <code>FileInfo</code>).

function validateMimeType(string $tmpPath, array $allowedMimes): bool
{
    $finfo = new finfo(FILEINFO_MIME_TYPE);
    $detectedMime = $finfo->file($tmpPath);

    return in_array($detectedMime, $allowedMimes, true);
}

// 使用例: 画像ファイルのみ許可
$allowedMimes = ['image/jpeg', 'image/png', 'image/gif', 'image/webp'];
if (!validateMimeType($_FILES['userfile']['tmp_name'], $allowedMimes)) {
    throw new RuntimeException('許可されていないファイル形式です。');
}

<code>finfo</code> lê os primeiros bytes do arquivo (número mágico) para determinar o tipo MIME, podendo lidar com ataques de falsificação de extensão. Porém, arquivos de texto (CSV, JSON, etc.) podem ser determinados como <code>text/plain</code>, portanto recomendamos combinar com verificação de extensão.

Whitelist de extensão

Junto com a validação de tipo MIME, implemente também a verificação de lista branca de extensões de arquivo. A lista branca (enumerar apenas as extensões permitidas) é mais segura que a lista negra (proibir .php, .exe, etc.).

function validateExtension(string $originalName, array $allowedExtensions): bool
{
    // pathinfo() で拡張子を取得し、小文字に正規化
    $extension = strtolower(pathinfo($originalName, PATHINFO_EXTENSION));

    return in_array($extension, $allowedExtensions, true);
}

// 使用例
$allowedExtensions = ['jpg', 'jpeg', 'png', 'gif', 'webp'];
if (!validateExtension($_FILES['userfile']['name'], $allowedExtensions)) {
    throw new RuntimeException('許可されていない拡張子です。');
}

// MIMEタイプと拡張子の対応を明示的にマッピングする方法
$mimeToExtensions = [
    'image/jpeg' => ['jpg', 'jpeg'],
    'image/png'  => ['png'],
    'image/gif'  => ['gif'],
    'image/webp' => ['webp'],
];

$finfo = new finfo(FILEINFO_MIME_TYPE);
$detectedMime = $finfo->file($_FILES['userfile']['tmp_name']);
$extension = strtolower(pathinfo($_FILES['userfile']['name'], PATHINFO_EXTENSION));

if (
    !isset($mimeToExtensions[$detectedMime]) ||
    !in_array($extension, $mimeToExtensions[$detectedMime], true)
) {
    throw new RuntimeException('ファイル形式と拡張子が一致しません。');
}

Exemplo de código para limite de tamanho de arquivo

A verificação de tamanho no nível do PHP é realizada com <code>$_FILES['userfile']['size']</code>. Porém, arquivos que excedem <code>upload_max_filesize</code> no php.ini não chegam a <code>$_FILES</code> e resultam em erro <code>UPLOAD_ERR_INI_SIZE</code>. Por isso, é importante verificar o código de erro primeiro.

const MAX_UPLOAD_SIZE = 10 * 1024 * 1024; // 10 MiB

function validateFileSize(int $fileSize, int $maxSize = MAX_UPLOAD_SIZE): bool
{
    return $fileSize > 0 && $fileSize <= $maxSize;
}

// 使用例
if (!validateFileSize($_FILES['userfile']['size'])) {
    $maxMiB = MAX_UPLOAD_SIZE / (1024 * 1024);
    throw new RuntimeException("ファイルサイズが上限({$maxMiB} MiB)を超えています。");
}

// アップロード処理を関数にまとめた例
function processUpload(array $file): array
{
    // 1. エラーコード確認
    if ($file['error'] !== UPLOAD_ERR_OK) {
        throw new RuntimeException(getUploadErrorMessage($file['error']));
    }

    // 2. サイズチェック
    if (!validateFileSize($file['size'])) {
        throw new RuntimeException('ファイルサイズが上限を超えています。');
    }

    // 3. MIMEタイプチェック
    $allowedMimes = ['image/jpeg', 'image/png', 'image/gif', 'image/webp'];
    if (!validateMimeType($file['tmp_name'], $allowedMimes)) {
        throw new RuntimeException('許可されていないファイル形式です。');
    }

    // 4. 拡張子チェック
    $allowedExts = ['jpg', 'jpeg', 'png', 'gif', 'webp'];
    if (!validateExtension($file['name'], $allowedExts)) {
        throw new RuntimeException('許可されていない拡張子です。');
    }

    return $file;
}

Local de armazenamento seguro (fora de public)

Arquivos enviados devem ser armazenados fora da raiz do documento (public_html / public, etc). Se armazenados dentro do diretório public, há riscos de serem acessados diretamente via URL ou executados como arquivos PHP.

// 推奨ディレクトリ構成
// /var/www/
//   ├── public/         ← ドキュメントルート(外部からアクセス可能)
//   │   └── index.php
//   └── storage/        ← public の外(外部から直接アクセス不可)
//       └── uploads/

// 定数で保存先を明示
define('UPLOAD_DIR', dirname(__DIR__) . '/storage/uploads/');

// ディレクトリが存在しない場合は作成
if (!is_dir(UPLOAD_DIR)) {
    mkdir(UPLOAD_DIR, 0755, true);
}

// ダウンロード提供時は PHP 経由でストリーミング
function serveFile(string $filename): void
{
    $filePath = UPLOAD_DIR . basename($filename);

    if (!file_exists($filePath)) {
        http_response_code(404);
        exit;
    }

    $finfo = new finfo(FILEINFO_MIME_TYPE);
    $mimeType = $finfo->file($filePath);

    header('Content-Type: ' . $mimeType);
    header('Content-Length: ' . filesize($filePath));
    header('Content-Disposition: attachment; filename="' . basename($filename) . '"');
    readfile($filePath);
    exit;
}

ファイル名のサニタイズ(uniqid使用)

クライアントが送信したファイル名をそのまま使用するのは危険です。ディレクトリトラバーサル(../../etc/passwd のようなパス)や、特殊文字を含むファイル名によるOSコマンドインジェクションのリスクがあります。uniqid() を使ってユニークなファイル名を生成し、元のファイル名は別途データベースなどに記録する方法が安全です。

function generateSafeFilename(string $originalName): string
{
    // 拡張子のみ元のファイルから引き継ぐ
    $extension = strtolower(pathinfo($originalName, PATHINFO_EXTENSION));

    // uniqid() + mt_rand() でユニークな名前を生成
    // more_entropy=true で精度を上げる
    $uniqueName = uniqid('upload_', true);

    // さらにランダム性を加える場合は bin2hex(random_bytes(8)) を使う
    // $uniqueName = bin2hex(random_bytes(16));

    return $uniqueName . '.' . $extension;
}

// 使用例
$safeFilename = generateSafeFilename($_FILES['userfile']['name']);
$savePath = UPLOAD_DIR . $safeFilename;

// is_uploaded_file() で正規のアップロードか確認してから移動
if (!is_uploaded_file($_FILES['userfile']['tmp_name'])) {
    throw new RuntimeException('不正なファイルアップロードを検出しました。');
}

if (!move_uploaded_file($_FILES['userfile']['tmp_name'], $savePath)) {
    throw new RuntimeException('ファイルの保存に失敗しました。');
}

// 元のファイル名、保存名、MIMEタイプをDBに記録
// db_insert(['original_name' => $_FILES['userfile']['name'], 'saved_name' => $safeFilename, ...]);

php.ini 設定(upload_max_filesize / post_max_size)

Para aceitar uploads de arquivos em PHP, é necessário configurar adequadamente o php.ini (ou configurações locais em .htaccess / php.ini). O importante é não apenas alterar <code>upload_max_filesize</code>, mas também <code>post_max_size</code> em conjunto.

; php.ini の設定
; ファイルアップロードを有効化
file_uploads = On

; 1ファイルあたりの上限(M = MiB 単位)
upload_max_filesize = 20M

; POSTリクエスト全体の上限
; upload_max_filesize より大きく設定する(フォームデータのオーバーヘッド分)
post_max_size = 25M

; 最大実行時間(大きなファイルのアップロードに対応)
max_execution_time = 300

; 最大入力時間(アップロードの読み込み時間)
max_input_time = 300

; メモリ上限(post_max_size より大きくする)
memory_limit = 128M

Você pode verificar se o valor de configuração foi aplicado usando <code>phpinfo()</code> ou <code>ini_get()</code>.

// 現在の設定値を確認
echo ini_get('upload_max_filesize');  // 例: "20M"
echo ini_get('post_max_size');        // 例: "25M"

// バイト単位に変換するユーティリティ
function convertToBytes(string $value): int
{
    $value = trim($value);
    $last = strtolower($value[-1]);
    $num = (int) $value;

    return match ($last) {
        'g' => $num * 1024 * 1024 * 1024,
        'm' => $num * 1024 * 1024,
        'k' => $num * 1024,
        default => $num,
    };
}

Resumo: Lista de verificação para processamento seguro de upload

  • Verificando códigos de erro com UPLOAD_ERR_*
  • Determinando o tipo MIME no lado do servidor com <code>finfo</code>
  • Validação de extensão usando método de lista de permissões
  • Verificando o tamanho do arquivo com <code>$_FILES['userfile']['size']</code>
  • O destino de salvamento está configurado fora do diretório public
  • Confirmando upload legítimo com <code>is_uploaded_file()</code>
  • Movendo arquivo com <code>move_uploaded_file()</code>
  • Gerando nomes de arquivo com <code>uniqid()</code> ou <code>random_bytes()</code>
  • <code>upload_max_filesize</code> e <code>post_max_size</code> em php.ini configurados apropriadamente

Arquivo de teste disponível para usar neste artigo

  • <a href="/ja/files/threshold/" class="text-primary-600 dark:text-primary-400 hover:underline">Lista de arquivos de teste de valor limite</a> — Ideal para verificar os valores antes e depois da configuração de <code>upload_max_filesize</code>
  • <a href="/ja/files/threshold/10mb/" class="text-primary-600 dark:text-primary-400 hover:underline">Conjunto de teste de limite de 10MB</a> — 3 arquivos: exatamente no limite, antes e depois
  • <a href="/ja/files/broken/" class="text-primary-600 dark:text-primary-400 hover:underline">Lista de Arquivos Corrompidos e Inválidos</a> — Teste a validação com arquivos com MIME type falsificado e extensão falsificada
  • <a href="/ja/files/images/png/" class="text-primary-600 dark:text-primary-400 hover:underline">Lista de imagens de teste PNG</a> — Para validação de tipo MIME no upload de imagens

Artigos relacionados

  • <a href="/ja/blog/how-to-test-upload-limit/" class="text-primary-600 dark:text-primary-400 hover:underline">Como Testar Corretamente o Limite de Upload de Arquivo</a>
  • <a href="/ja/blog/file-validation-checklist/" class="text-primary-600 dark:text-primary-400 hover:underline">Checklist de Implementação de Validação de Arquivo em Formulários Web</a>
  • <a href="/ja/blog/multipart-form-data-overhead/" class="text-primary-600 dark:text-primary-400 hover:underline">Calcular com Precisão o Overhead de multipart/form-data</a>
  • <a href="/ja/blog/s3-upload-limit/" class="text-primary-600 dark:text-primary-400 hover:underline">Resumo dos Limites de Upload de Arquivo do AWS S3 e CloudFront</a>

Perguntas frequentes

Qual é o valor padrão do limite de tamanho de arquivo de upload do PHP?

O padrão de upload_max_filesize no php.ini é 2MB. post_max_size também está definido como 8MB.

Como fazer upload de vários arquivos simultaneamente em PHP?

Adicione o atributo <code>multiple</code> à tag <code>input</code> e defina o atributo <code>name</code> em formato de array (<code>files[]</code>). Você pode receber como array usando <code>$_FILES['files']</code>.

Quais são os pontos de segurança a serem observados no upload de arquivos em PHP?

É importante validar a extensão com whitelist, confirmar o tipo MIME com <code>finfo_file()</code> e armazenar uploads fora da raiz de documentos.

🛠️ Related DevLab tools

ハッシュ生成

バイト単位コンバータ

セキュリティ総合診断

📝 Related articles

ファイルバリデーションチェックリスト

Nginx の client_max_body_size 設定

Docker での PHP アップロード設定

📚 Reference

File Signature (Magic Bytes) Reference

MIME Types Reference
🛠️ All tools 🔍 Diagnostics 📝 All blog posts 📚 Reference