file_put_contents() 関数は文字列をファイルに書き込みます。最近、file_put_contents 関数には私が気付かなかった問題があることがわかりました。次の記事では、PHP の危険な file_put_contents 関数に関する関連情報を中心に紹介します。必要な方は一緒に参照してください。
file_put_contents 関数の 2 番目のパラメーター データの公式 Web サイトの定義を見てみましょう:
data 要写入的数据。类型可以是 string,array 或者是 stream 资源(如上面所说的那样)。 如果 data 指定为 stream 资源,这里 stream 中所保存的缓存数据将被写入到指定文件中,这种用法就相似于使用 stream_copy_to_stream() 函数。 参数 data 可以是数组(但不能为多维数组),这就相当于 file_put_contents($filename, join('', $array))。
ご覧のとおり、データ パラメーターは配列にすることができ、これは自動的に文字列に変換されます。
join('',$array)
この関数がファイルにアクセスするとき、次のルールに従います:
FILE_USE_INCLUDE_PATH が設定されている場合、*filename* のコピーの組み込みパスがチェックされます
。 したがって、ファイルアップロードのコードは次のように書かれると思います
if(preg_match('/\</',$data)){ die('hack'); }
したがって、次のように var_dump(preg_match('/</',$data));
を渡して
をバイパスすることができます
修理方法
content[]=<?php phpinfo();?>&ext=php
修正するには、fwrite 関数を使用して、危険な file_put_contents 関数を置き換えることです。fwrite 関数は、配列の場合、エラーが false を返します。 PHP file_put_contents() 関数に関する記事
PHP の fwrite と file_put_contents の違い
以上がPHPの危険なfile_put_contents関数の詳細説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。