Dieses Mal zeige ich Ihnen, wie Sie die Funktion file_put_contents in PHP verwenden. Was sind die Vorsichtsmaßnahmen für die Verwendung der Funktion file_put_contents? Hier sind praktische Fälle sehen.
Kürzlich stieß ich auf eine Frage zum Datei-Upload. Nach dem Filtern waren viele Gesten im Grunde ungültig, aber ich konnte diese Frage nicht lösen Im Spiel habe ich herausgefunden, dass ich ein Array verwendet habe, um das Problem zu lösen. Hier wird jedoch nicht viel gesagt, werfen wir einen Blick auf die detaillierte Einführung.
Werfen wir einen Blick auf die offizielle Website-Definition der zweiten Parameterdaten der Funktion file_put_contents:
data 要写入的数据。类型可以是 string,array 或者是 stream 资源(如上面所说的那样)。 如果 data 指定为 stream 资源,这里 stream 中所保存的缓存数据将被写入到指定文件中,这种用法就相似于使用 stream_copy_to_stream() 函数。 参数 data 可以是数组(但不能为多维数组),这就相当于 file_put_contents($filename, join('', $array))。
Wie Sie sehen, kann der Datenparameter ein Array sein, das join('',$array)
automatisch in einen -String
umwandelt Wenn diese Funktion auf Dateien zugreift, folgt sie den folgenden Regeln:
Wenn FILE_USE_INCLUDE_PATH festgelegt ist, wird der integrierte Pfad für eine Kopie von *Dateiname* überprüft
Aber unsere String-Filterfunktion verwendet im Allgemeinen die preg_match-Funktion zum Filtern, wie zum Beispiel:
if(preg_match('/\</',$data)){ die('hack'); }
Wir wissen, dass viele Funktionen, die Zeichenfolgen verarbeiten, einen Fehler machen und NULL zurückgeben, wenn ein Array übergeben wird, wie z. B. strcmp, strlen, md5 usw. Die Funktion preg_match gibt jedoch false zurück, wenn ein Fehler auftritt. Hier können wir dies durch var_dump(preg_match('/</',$data));
überprüfen . In diesem Fall funktioniert die reguläre Filterung von preg_match nicht
Daher vermute ich, dass der Datei-Upload-Code so geschrieben ist
<?php if(isset($_POST['content']) && isset($_POST['ext'])){ $data = $_POST['content']; $ext = $_POST['ext']; //var_dump(preg_match('/\</',$data)); if(preg_match('/\</',$data)){ die('hack'); } $filename = time(); file_put_contents($filename.$ext, $data); } ?>
Wir können also content[]=<?php phpinfo();?>&ext=php
einleiten, um
zu umgehen Reparaturmethode
Die Lösung besteht darin, die gefährliche Funktion „file_put_contents“ durch die Funktion „fwrite“ zu ersetzen. Wenn es sich um ein Array handelt, wird meiner Meinung nach ein Fehler angezeigt und „false“ zurückgegeben Sie haben die Methode gemeistert, nachdem Sie den Fall in diesem Artikel gelesen haben. Wie aufregend, achten Sie bitte auf andere verwandte Artikel auf der chinesischen PHP-Website!
<?php if(isset($_POST['content']) && isset($_POST['ext'])){ $data = $_POST['content']; $ext = $_POST['ext']; //var_dump(preg_match('/\</',$data)); if(preg_match('/\</',$data)){ die('hack'); } $filename = time(); // file_put_contents($filename.$ext, $data); $f = fopen($filename.$ext); var_dump(fwrite($f,$data)); } ?>
Das obige ist der detaillierte Inhalt vonSo verwenden Sie die Funktion file_put_contents in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!