Dieser Artikel teilt Ihnen hauptsächlich die detaillierte Erklärung der Funktion file_put_contents in PHP mit. Ich bin kürzlich auf eine Frage zum Hochladen von Dateien in EIS gestoßen und habe festgestellt, dass das Filtern viele Gesten, über die ich nachgedacht habe, ungültig macht Ich habe nach dem Spiel noch nicht herausgefunden, dass ich ein Array verwenden kann, um diese Frage zu umgehen. Schauen wir uns das Prinzip hier ohne Umschweife an.
Werfen wir einen Blick auf die offizielle Website-Definition der zweiten Parameterdaten der Funktion file_put_contents:
data 要写入的数据。类型可以是 string,array 或者是 stream 资源(如上面所说的那样)。 如果 data 指定为 stream 资源,这里 stream 中所保存的缓存数据将被写入到指定文件中,这种用法就相似于使用 stream_copy_to_stream() 函数。 参数 data 可以是数组(但不能为多维数组),这就相当于 file_put_contents($filename, join('', $array))。
Wie Sie sehen, kann der Datenparameter ein Array sein, das durch join('',$array)
automatisch in einen String umgewandelt wird Wenn diese Funktion auf Dateien zugreift, folgt sie den folgenden Regeln:
Wenn FILE_USE_INCLUDE_PATH festgelegt ist, wird der integrierte Pfad für eine Kopie von *Dateiname* überprüft
Wenn die Datei nicht existiert, wird eine Datei erstellt
Datei öffnen
Wenn LOCK_EX gesetzt ist, wird die Datei gesperrt
Wenn FILE_APPEND festgelegt ist, wird an das Ende der Datei verschoben. Andernfalls wird der Inhalt der Datei gelöscht
Daten in die Datei schreiben
Dateien schließen und alle Dateien entsperren
Bei Erfolg gibt die Funktion die Anzahl der in die Datei geschriebenen Zeichen zurück. Bei einem Fehler wird False zurückgegeben.
Aber unsere String-Filterfunktion verwendet im Allgemeinen die preg_match-Funktion zum Filtern, wie zum Beispiel:
if(preg_match('/\</',$data)){ die('hack'); }
Wir wissen, dass viele Funktionen, die Zeichenfolgen verarbeiten, NULL zurückgeben, wenn ein Array übergeben wird, wie z. B. strcmp, strlen, md5 usw. Die Funktion preg_match gibt jedoch false zurück, wenn ein Fehler auftritt. Hier können wir var_dump(preg_match('/<) übergeben ;/',$data )); zur Überprüfung: In diesem Fall ist die reguläre Filterung von preg_match ungültig
Daher vermute ich, dass der Datei-Upload-Code so geschrieben ist
<?php if(isset($_POST['content']) && isset($_POST['ext'])){ $data = $_POST['content']; $ext = $_POST['ext']; //var_dump(preg_match('/\</',$data)); if(preg_match('/\</',$data)){ die('hack'); } $filename = time(); file_put_contents($filename.$ext, $data); } ?>
Wir können also content[]=&ext=php übergeben, um
zu umgehen
Reparaturmethode
Die Lösung besteht darin, die Funktion fwrite anstelle der gefährlichen Funktion file_put_contents zu verwenden. Wenn es sich um ein Array handelt, gibt sie einen Fehler aus und gibt „false“ zurück. Verwandte Empfehlungen:
<?php if(isset($_POST['content']) && isset($_POST['ext'])){ $data = $_POST['content']; $ext = $_POST['ext']; //var_dump(preg_match('/\</',$data)); if(preg_match('/\</',$data)){ die('hack'); } $filename = time(); // file_put_contents($filename.$ext, $data); $f = fopen($filename.$ext); var_dump(fwrite($f,$data)); } ?>
10 empfohlene Artikel über die PHP-Funktion file_put_contents()
Wie kann ich file_put_contents in PHP anhängen und umschließen?
Der Unterschied zwischen fwrite und file_put_contents in PHP
Das obige ist der detaillierte Inhalt vonDetaillierte Erklärung der Funktion file_put_contents in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!