Cette fois je vais vous montrer comment utiliser la fonction file_put_contents en PHP Quelles sont les précautions pour utiliser la fonction file_put_contents en PHP Voici des cas pratiques, prenons un. regarder.
Récemment, j'ai rencontré une question sur le Téléchargement de fichiers sur EIS. J'ai découvert qu'après le filtrage <, de nombreux gestes étaient fondamentalement invalides, j'y ai réfléchi pendant longtemps mais je n'ai pas résolu cette question. jeu, j'ai découvert que j'utilisais un tableau pour résoudre le problème. Cependant, le principe est analysé ici. Pas grand chose à dire, jetons un œil à l'introduction détaillée.
Jetons un coup d'œil à la définition du site officiel des données du deuxième paramètre de la fonction file_put_contents :
data 要写入的数据。类型可以是 string,array 或者是 stream 资源(如上面所说的那样)。 如果 data 指定为 stream 资源,这里 stream 中所保存的缓存数据将被写入到指定文件中,这种用法就相似于使用 stream_copy_to_stream() 函数。 参数 data 可以是数组(但不能为多维数组),这就相当于 file_put_contents($filename, join('', $array))。
Comme vous pouvez le voir, le paramètre data peut être un tableau, et join('',$array)
sera automatiquement converti en chaîne de
Lorsque cette fonction accède aux fichiers, elle suit les règles suivantes :
Si FILE_USE_INCLUDE_PATH est défini, alors le chemin intégré pour une copie de *filename* sera vérifié
Mais notre fonction de filtrage de chaînes utilise généralement la fonction preg_match pour filtrer, comme :
if(preg_match('/\</',$data)){ die('hack'); }
Nous savons que de nombreuses fonctions qui traitent des chaînes génèrent une erreur et renvoient NULL si un tableau est transmis, comme strcmp, strlen, md5, etc. Mais la fonction preg_match renvoie false lorsqu'une erreur se produit ici, nous pouvons la vérifier via var_dump(preg_match('/</',$data));
. . Dans ce cas, le filtrage régulier de preg_match Cela ne fonctionnera pas
. Par conséquent, je suppose que le code de téléchargement du fichier est écrit comme ceci
<?php if(isset($_POST['content']) && isset($_POST['ext'])){ $data = $_POST['content']; $ext = $_POST['ext']; //var_dump(preg_match('/\</',$data)); if(preg_match('/\</',$data)){ die('hack'); } $filename = time(); file_put_contents($filename.$ext, $data); } ?></p> <p style="text-align: left;"> On peut donc passer en <code>content[]=<?php phpinfo();?>&ext=php </code> pour contourner </p> <p style="text-align: left;"> <span style="color:#ff0000;"><strong>Méthodes de réparation</strong></span></p> <p style="text-align: left;"> Le correctif consiste à utiliser la fonction fwrite pour remplacer la fonction dangereuse file_put_contents. La fonction fwrite ne peut transmettre qu'une chaîne, elle générera une erreur et renverra false </p> <pre class="brush:php;toolbar:false"><?php if(isset($_POST['content']) && isset($_POST['ext'])){ $data = $_POST['content']; $ext = $_POST['ext']; //var_dump(preg_match('/\</',$data)); if(preg_match('/\</',$data)){ die('hack'); } $filename = time(); // file_put_contents($filename.$ext, $data); $f = fopen($filename.$ext); var_dump(fwrite($f,$data)); } ?>
je crois. vous maîtrisez la méthode après avoir lu le cas dans cet article, et plus encore Comme c'est excitant, veuillez prêter attention aux autres articles connexes sur le site Web chinois de php !
Lecture recommandée :
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!