Detaillierte Erklärung der gefährlichen Funktion file_put_contents in PHP

Die Funktion file_put_contents() schreibt einen String in eine Datei. Kürzlich habe ich festgestellt, dass die Funktion file_put_contents Probleme aufweist, die mir noch nie aufgefallen sind. Daher werden im folgenden Artikel hauptsächlich relevante Informationen zur gefährlichen Funktion file_put_contents in PHP vorgestellt. Lassen Sie uns gemeinsam einen Blick darauf werfen.

Werfen wir einen Blick auf die offizielle Website-Definition der zweiten Parameterdaten der Funktion file_put_contents:

data
要写入的数据。类型可以是 string，array 或者是 stream 资源（如上面所说的那样）。
 
如果 data 指定为 stream 资源，这里 stream 中所保存的缓存数据将被写入到指定文件中，这种用法就相似于使用 stream_copy_to_stream() 函数。
 
参数 data 可以是数组（但不能为多维数组），这就相当于 file_put_contents($filename, join('', $array))。

Wie Sie sehen, kann der Datenparameter ein Array sein und join('',$array) wird automatisch in eine Zeichenfolge

umgewandelt Wenn diese Funktion auf Dateien zugreift, folgt sie den folgenden Regeln:

• Wenn FILE_USE_INCLUDE_PATH festgelegt ist, wird der integrierte Pfad für eine Kopie von *Dateiname* überprüft

• Wenn die Datei nicht existiert, wird eine Datei erstellt

• Datei öffnen

• Wenn LOCK_EX gesetzt ist, wird die Datei gesperrt

• Wenn FILE_APPEND festgelegt ist, wird an das Ende der Datei verschoben. Andernfalls wird der Inhalt der Datei gelöscht

• Daten in die Datei schreiben

• Schließen Sie Dateien und entsperren Sie alle Dateien

• Bei Erfolg gibt die Funktion die Anzahl der in die Datei geschriebenen Zeichen zurück. Bei einem Fehler wird False zurückgegeben.

Aber unsere String-Filterfunktion verwendet im Allgemeinen die preg_match-Funktion zum Filtern, wie zum Beispiel:

if(preg_match(&#39;/\</&#39;,$data)){
 die(&#39;hack&#39;);
}

Wir wissen, dass viele Funktionen, die Zeichenfolgen verarbeiten, einen Fehler machen und NULL zurückgeben, wenn ein Array übergeben wird, wie z. B. strcmp, strlen, md5 usw. Die Funktion preg_match gibt jedoch false zurück, wenn ein Fehler auftritt. Hier können wir dies durch var_dump(preg_match(&#39;/</&#39;,$data)); überprüfen . In diesem Fall funktioniert die reguläre Filterung von preg_match nicht

Daher vermute ich, dass der Datei-Upload-Code so geschrieben ist:

<?php 
 
if(isset($_POST[&#39;content&#39;]) && isset($_POST[&#39;ext&#39;])){
 $data = $_POST[&#39;content&#39;];
 $ext = $_POST[&#39;ext&#39;];
 
 //var_dump(preg_match(&#39;/\</&#39;,$data));
 if(preg_match(&#39;/\</&#39;,$data)){
  die(&#39;hack&#39;);
 }
 $filename = time();
 file_put_contents($filename.$ext, $data);
}
 
?>

Wir können also content[]=<?php phpinfo();?>&ext=php einleiten, um

zu umgehen Reparaturmethoden

Die Lösung besteht darin, die Funktion fwrite anstelle der gefährlichen Funktion file_put_contents zu verwenden. Wenn es sich um ein Array handelt, gibt sie einen Fehler aus und gibt „false“ zurück. Verwandte Empfehlungen:

<?php 
 
if(isset($_POST[&#39;content&#39;]) && isset($_POST[&#39;ext&#39;])){
 $data = $_POST[&#39;content&#39;];
 $ext = $_POST[&#39;ext&#39;];
 
 //var_dump(preg_match(&#39;/\</&#39;,$data));
 if(preg_match(&#39;/\</&#39;,$data)){
  die(&#39;hack&#39;);
 }
 $filename = time();
 // file_put_contents($filename.$ext, $data);
 $f = fopen($filename.$ext);
 var_dump(fwrite($f,$data));
}
 
?>

10 empfohlene Artikel zur PHP-Funktion file_put_contents()

Der Unterschied zwischen fwrite und file_put_contents in PHP

php file_put_contents function_PHP Tutorial

Das obige ist der detaillierte Inhalt vonDetaillierte Erklärung der gefährlichen Funktion file_put_contents in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!