PHP에서 file_put_contents 함수를 사용하는 방법
- php中世界最好的语言원래의
- 2018-04-11 10:02:181788검색
이번에는 PHP에서 file_put_contents 함수를 사용하는 방법을 알려드리겠습니다. PHP에서 file_put_contents 함수를 사용할 때 주의사항은 무엇인가요?
최근 EIS의 파일 업로드에서 필터링을 하면 < 기본적으로 많은 제스처가 무효화된다는 것을 알게 되었는데, 게임이 끝난 후 이 문제가 해결되지 않았습니다. 이를 우회하기 위해 배열을 사용할 수 있습니다. 분석은 다음과 같습니다. 이제 원리를 이해했으므로 자세한 소개를 살펴보겠습니다.
file_put_contents 함수의 두 번째 매개변수 데이터에 대한 공식 웹사이트 정의를 살펴보겠습니다.
data 要写入的数据。类型可以是 string,array 或者是 stream 资源(如上面所说的那样)。 如果 data 指定为 stream 资源,这里 stream 中所保存的缓存数据将被写入到指定文件中,这种用法就相似于使用 stream_copy_to_stream() 函数。 参数 data 可以是数组(但不能为多维数组),这就相当于 file_put_contents($filename, join('', $array))。
보시다시피, data 매개변수는 배열일 수 있으며, 이는 join('',$array에 의해 자동으로 <a href="http://www.php.cn/wiki/57.html로 변환됩니다. ) " target="_blank">문자열 join('',$array)转换为字符串的
该函数访问文件时,遵循以下规则:
如果设置了 FILE_USE_INCLUDE_PATH,那么将检查 *filename* 副本的内置路径
- 如果文件不存在,将创建一个文件
- 打开文件
- 如果设置了 LOCK_EX,那么将锁定文件
- 如果设置了 FILE_APPEND,那么将移至文件末尾。否则,将会清除文件的内容
- 向文件中写入数据
- 关闭文件并对所有文件解锁
- 如果成功,该函数将返回写入文件中的字符数。如果失败,则返回 False。
但我们字符串过滤函数一般是用preg_match函数来过滤的,如:
if(preg_match('/\</',$data)){
die('hack');
}
我们知道,很多处理字符串的函数如果传入数组会出错返回NULL, 如strcmp,strlen,md5等, 但preg_match 函数出错返回false, 这里我们可以通过var_dump(preg_match('/</',$data)); 来验证, 这样的话,preg_match 的正则过滤就失效了
因此,猜测文件上传的代码是这样写的
于是我么可以传入
content[]=<?php phpinfo();?>&ext=php/이 함수는 파일에 액세스할 때 다음 규칙을 따릅니다:
FILE_USE_INCLUDE_PATH가 설정된 경우 *filename* 복사본에 대한 내장 경로가 확인됩니다.
var_dump(preg_match( '/</' ,$data)) 를 확인합니다. 이 경우 preg_match의 일반 필터링이 유효하지 않습니다🎜🎜
그래서 파일업로드 코드는 이렇게 쓴거 같네요 🎜🎜 따라서content[]=<?php phpinfo();?>&ext=php를 전달하여 🎜🎜를 우회할 수 있습니다. 🎜🎜수리 방법🎜🎜🎜🎜 해결 방법은 fwrite 함수를 사용하여 위험한 file_put_contents 함수를 대체하는 것입니다. fwrite 함수는 문자열만 전달할 수 있습니다. 배열인 경우 오류가 발생하고 false를 반환합니다🎜rrreee🎜읽고 나면 방법을 익히셨을 것입니다. 이 기사의 사례에 대해 더 흥미로운 정보를 보려면 온라인에서 PHP 중국어 관련 기사를 주목하세요! 🎜🎜추천 도서: 🎜🎜🎜🎜🎜🎜🎜🎜위 내용은 PHP에서 file_put_contents 함수를 사용하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!