file_put_contents() 函数把一个字符串写入文件中。最近发现file_put_contents函数有一直没注意到的问题,所以下面这篇文章主要给大家介绍了关于PHP中危险的file_put_contents函数的相关资料,需要的朋友可以参考借鉴,下面来一起看吧。
前言
最近在EIS上遇到一道文件上传的题,发现过滤了e4cd55af0459d5215921181b63c659ea&ext=php 这样来绕过
修复方法
修复方法是使用fwrite 函数来代替危险的file_put_contents函数,fwrite函数只能传入字符串,如果是数组会出错返回false
<?php if(isset($_POST['content']) && isset($_POST['ext'])){ $data = $_POST['content']; $ext = $_POST['ext']; //var_dump(preg_match('/\</',$data)); if(preg_match('/\</',$data)){ die('hack'); } $filename = time(); // file_put_contents($filename.$ext, $data); $f = fopen($filename.$ext); var_dump(fwrite($f,$data)); } ?>
相关推荐:
以上是PHP中file_put_contents函数详解的详细内容。更多信息请关注PHP中文网其他相关文章!