Detaillierte Erklärung der gefährlichen Funktion file_put_contents in PHP

小云云
Freigeben: 2023-03-17 20:16:01
Original
1768 Leute haben es durchsucht

Die Funktion file_put_contents() schreibt einen String in eine Datei. Kürzlich habe ich festgestellt, dass die Funktion file_put_contents Probleme aufweist, die mir noch nie aufgefallen sind. Daher werden im folgenden Artikel hauptsächlich relevante Informationen zur gefährlichen Funktion file_put_contents in PHP vorgestellt. Lassen Sie uns gemeinsam einen Blick darauf werfen.

Werfen wir einen Blick auf die offizielle Website-Definition der zweiten Parameterdaten der Funktion file_put_contents:

data
要写入的数据。类型可以是 string,array 或者是 stream 资源(如上面所说的那样)。
 
如果 data 指定为 stream 资源,这里 stream 中所保存的缓存数据将被写入到指定文件中,这种用法就相似于使用 stream_copy_to_stream() 函数。
 
参数 data 可以是数组(但不能为多维数组),这就相当于 file_put_contents($filename, join('', $array))。
Nach dem Login kopieren

Wie Sie sehen, kann der Datenparameter ein Array sein und join('',$array) wird automatisch in eine Zeichenfolge

umgewandelt Wenn diese Funktion auf Dateien zugreift, folgt sie den folgenden Regeln:

  • Wenn FILE_USE_INCLUDE_PATH festgelegt ist, wird der integrierte Pfad für eine Kopie von *Dateiname* überprüft

  • Wenn die Datei nicht existiert, wird eine Datei erstellt

  • Datei öffnen

  • Wenn LOCK_EX gesetzt ist, wird die Datei gesperrt

  • Wenn FILE_APPEND festgelegt ist, wird an das Ende der Datei verschoben. Andernfalls wird der Inhalt der Datei gelöscht

  • Daten in die Datei schreiben

  • Schließen Sie Dateien und entsperren Sie alle Dateien

  • Bei Erfolg gibt die Funktion die Anzahl der in die Datei geschriebenen Zeichen zurück. Bei einem Fehler wird False zurückgegeben.

Aber unsere String-Filterfunktion verwendet im Allgemeinen die preg_match-Funktion zum Filtern, wie zum Beispiel:

if(preg_match(&#39;/\</&#39;,$data)){
 die(&#39;hack&#39;);
}
Nach dem Login kopieren

Wir wissen, dass viele Funktionen, die Zeichenfolgen verarbeiten, einen Fehler machen und NULL zurückgeben, wenn ein Array übergeben wird, wie z. B. strcmp, strlen, md5 usw. Die Funktion preg_match gibt jedoch false zurück, wenn ein Fehler auftritt. Hier können wir dies durch var_dump(preg_match(&#39;/</&#39;,$data)); überprüfen . In diesem Fall funktioniert die reguläre Filterung von preg_match nicht

Daher vermute ich, dass der Datei-Upload-Code so geschrieben ist:

<?php 
 
if(isset($_POST[&#39;content&#39;]) && isset($_POST[&#39;ext&#39;])){
 $data = $_POST[&#39;content&#39;];
 $ext = $_POST[&#39;ext&#39;];
 
 //var_dump(preg_match(&#39;/\</&#39;,$data));
 if(preg_match(&#39;/\</&#39;,$data)){
  die(&#39;hack&#39;);
 }
 $filename = time();
 file_put_contents($filename.$ext, $data);
}
 
?>
Nach dem Login kopieren

Wir können also content[]=<?php phpinfo();?>&ext=php einleiten, um

zu umgehen Reparaturmethoden

Die Lösung besteht darin, die Funktion fwrite anstelle der gefährlichen Funktion file_put_contents zu verwenden. Wenn es sich um ein Array handelt, gibt sie einen Fehler aus und gibt „false“ zurück. Verwandte Empfehlungen:

<?php 
 
if(isset($_POST[&#39;content&#39;]) && isset($_POST[&#39;ext&#39;])){
 $data = $_POST[&#39;content&#39;];
 $ext = $_POST[&#39;ext&#39;];
 
 //var_dump(preg_match(&#39;/\</&#39;,$data));
 if(preg_match(&#39;/\</&#39;,$data)){
  die(&#39;hack&#39;);
 }
 $filename = time();
 // file_put_contents($filename.$ext, $data);
 $f = fopen($filename.$ext);
 var_dump(fwrite($f,$data));
}
 
?>
Nach dem Login kopieren


10 empfohlene Artikel zur PHP-Funktion file_put_contents()

Der Unterschied zwischen fwrite und file_put_contents in PHP

php file_put_contents function_PHP Tutorial

Das obige ist der detaillierte Inhalt vonDetaillierte Erklärung der gefährlichen Funktion file_put_contents in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage
Über uns Haftungsausschluss Sitemap
Chinesische PHP-Website:Online-PHP-Schulung für das Gemeinwohl,Helfen Sie PHP-Lernenden, sich schnell weiterzuentwickeln!