考虑 PHP 5.0~5.6 各版本兼容性的 cURL 文件上传

时间 2019-12-13

标签考虑 php 5.0 5.6 版本兼容性 curl 文件上传栏目 PHP 繁體版

原文原文链接

最近作的一个需求，要经过PHP调用cURL，以multipart/form-data格式上传文件。踩坑若干，够一篇文章了。php

重要警告

没事不要读PHP的官方中文文档！版本跟不上坑死你！数组

不一样版本PHP之间cURL的区别

PHP的cURL支持经过给CURL_POSTFIELDS传递关联数组（而不是字符串）来生成multipart/form-data的POST请求。curl

传统上，PHP的cURL支持经过在数组数据中，使用“@+文件全路径”的语法附加文件，供cURL读取上传。这与命令行直接调用cURL程序的语法是一致的：url

curl_setopt(ch, CURLOPT_POSTFIELDS, array(
    'file' => '@'.realpath('image.png'), 
)); 
equals
$ curl -F "file=@/absolute/path/to/image.png" <url>

但PHP从5.5开始引入了新的CURLFile类用来指向文件。CURLFile类也能够详细定义MIME类型、文件名等可能出如今multipart/form-data数据中的附加信息。PHP推荐使用CURLFile替代旧的@语法：命令行

curl_setopt(ch, CURLOPT_POSTFIELDS, [
    'file' => new CURLFile(realpath('image.png')), 
]);

PHP 5.5另外引入了CURL_SAFE_UPLOAD选项，能够强制PHP的cURL模块拒绝旧的@语法，仅接受CURLFile式的文件。5.5的默认值为false，5.6的默认值为true。code

可是坑的一点在于：@语法在5.5就已经被打了deprecated，在5.6中就直接被删除了（会产生 ErorException: The usage of the @filename API for file uploading is deprecated. Please use the CURLFile class instead）。orm

对于PHP 5.6+而言，手动设置CURL_SAFE_UPLOAD为false是毫无心义的。根本不是字面意义理解的“设置成false，就能开启旧的unsafe的方式”——旧的方式已经做为废弃语法完全不存在了。PHP 5.6+ == CURLFile only，不要有任何的幻想。ip

个人部署环境是5.4(仅@语法)，但开发环境是5.6(仅CURLFile)。都没有压在5.5这个二者都支持过渡版本上，结果就是必须写出带有环境判断的两套代码。开发

如今问题来了……（挖掘机滚远点！）文档

环境判断：当心魔法数字！

我见过这种环境判断的代码：

if (version_compare(phpversion(), '5.4.0') >= 0)

我对这种代码的评价只有一个字：屎。

这个判断掉入了典型的魔法数字陷阱。版本号莫名其妙的出如今代码之中，不查半天PHP手册和更新历史，很难明白做者被卡在了哪一个功能的变动上。

代码应该回归本源。咱们的实际需求实际上是：有CURLFile就优先采用，没有再退化到传统@语法。那么代码就来了：

if (class_exists('\CURLFile')) {
    $field = array('fieldname' => new \CURLFile(realpath($filepath)));
} else {
    $field = array('fieldname' => '@' . realpath($filepath));
}

建议明确指定的退化选项

从可靠的角度，推荐指定CURL_SAFE_UPLOAD的值，明确告知php是容忍仍是禁止旧的@语法。注意在低版本PHP中CURLOPT_SAFE_UPLOAD常量自己可能不存在，须要判断：

if (class_exists('\CURLFile')) {
    curl_setopt($ch, CURLOPT_SAFE_UPLOAD, true);
} else {
    if (defined('CURLOPT_SAFE_UPLOAD')) {
        curl_setopt($ch, CURLOPT_SAFE_UPLOAD, false);
    }
}

cURL选项设置的顺序

不论是curl_setopt()单发仍是curl_setopt_array()批量，cURL的选项老是设置一个生效一个，而设置好的选项马上就会影响cURL在设置后续选项时的行为。

例如CURLOPT_SAFE_UPLOAD就和CURLOPT_POSTFIELDS的行为有关。若是先设置CURLOPT_POSTFIELDS再设置CURLOPT_SAFE_UPLOAD，那么后者的约束做用就不会生效。由于设置前者时cURL就已经把数据实际的识读处理完毕了！

cURL有那么几个选项存在这种坑，务必当心。还好这种存在“依赖关系”的选项很少，机制也不复杂，简单处理便可。个人方法是先批量设置全部的选项，而后直到curl_exec()的前一刻才用curl_setopt()单发设置CURLOPT_POSTFIELDS。

实际上在curl_setopt_array()用的数组中，保证CURLOPT_POSTFIELDS的位置在后边也是可靠的。PHP的关联数组是有顺序保障的，咱们也能够假设curl_setopt_array()内部的执行顺序必定是从头至尾按顺序[注A]，因此尽可放心。

个人作法只是在代码表现上加个多余的保险，突出强调顺序的重要性防之后手贱。

命名空间

PHP 5.2或如下的版本没有命名空间。代码中用到了空间分隔符\就会引起解析器错误。要照顾PHP 5.2其实容易想，放弃命名空间便可。

要注意的反却是有命名空间的PHP 5.3+。不管是调用CURLFile仍是用class_exists()判断CURLFile的存在性，都推荐写成\CURLFile明确指定顶层空间，防止代码包裹在命名空间内的时候崩掉。

注解

【注A】好吧我知道assume不是件好事，不过有些实在过度浅显的事实，就容我下个最低限度的断言吧