file_put_contents函數怎么在PHP中使用

file_put_contents函數怎么在PHP中使用？針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

下file_put_contents函數第二個參數data的官網定義:

data
要寫入的數據。類型可以是 string，array 或者是 stream 資源（如上面所說的那樣）。
 
如果 data 指定為 stream 資源，這里 stream 中所保存的緩存數據將被寫入到指定文件中，這種用法就相似于使用 stream_copy_to_stream() 函數。
 
參數 data 可以是數組（但不能為多維數組），這就相當于 file_put_contents($filename, join('', $array))。

可以看到，data參數可以是數組, 會自動做join('',$array)轉換為字符串的

該函數訪問文件時，遵循以下規則：

• 如果設置了 FILE_USE_INCLUDE_PATH，那么將檢查 *filename* 副本的內置路徑

• 如果文件不存在，將創建一個文件

• 打開文件

• 如果設置了 LOCK_EX，那么將鎖定文件

• 如果設置了 FILE_APPEND，那么將移至文件末尾。否則，將會清除文件的內容

• 向文件中寫入數據

• 關閉文件并對所有文件解鎖

• 如果成功，該函數將返回寫入文件中的字符數。如果失敗，則返回 False。

但我們字符串過濾函數一般是用preg_match函數來過濾的,如:

if(preg_match('/\</',$data)){
 die('hack');
}

我們知道，很多處理字符串的函數如果傳入數組會出錯返回NULL, 如strcmp,strlen,md5等，　但preg_match 函數出錯返回false, 這里我們可以通過var_dump(preg_match('/\</',$data)); 來驗證，　這樣的話，preg_match 的正則過濾就失效了

因此，猜測文件上傳的代碼是這樣寫的

<?php 
 
if(isset($_POST['content']) && isset($_POST['ext'])){
 $data = $_POST['content'];
 $ext = $_POST['ext'];
 
 //var_dump(preg_match('/\</',$data));
 if(preg_match('/\</',$data)){
  die('hack');
 }
 $filename = time();
 file_put_contents($filename.$ext, $data);
}
 
?>

于是我么可以傳入content[]=<?php phpinfo();?>&ext=php 這樣來繞過

修復方法

修復方法是使用fwrite 函數來代替危險的file_put_contents函數,fwrite函數只能傳入字符串，如果是數組會出錯返回false

<?php 
 
if(isset($_POST['content']) && isset($_POST['ext'])){
 $data = $_POST['content'];
 $ext = $_POST['ext'];
 
 //var_dump(preg_match('/\</',$data));
 if(preg_match('/\</',$data)){
  die('hack');
 }
 $filename = time();
 // file_put_contents($filename.$ext, $data);
 $f = fopen($filename.$ext);
 var_dump(fwrite($f,$data));
}
 
?>

關于file_put_contents函數怎么在PHP中使用問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。