php伪协议

最新推荐文章于 2022-03-21 15:28:17 发布
最新推荐文章于 2022-03-21 15:28:17 发布
阅读量116 收藏
点赞数
分类专栏: php 文章标签: php
原文链接:https://segmentfault.com/a/1190000018991087
版权

php伪协议

file://
条件: allow_url_fopen:off/on
allow_url_include:off/on

php://
条件: allow_url_fopen:off/on
allow_url_include:
php://input php://stdin php://memory php://temp on

php://input ## 可以访问请求的原始数据的只读流,在POST请求中访问POST 的data部分,
## 在 enctype=“multipart/form-data” 时无效
例子:php://input + [POST DATA]

php://output ## 只写的数据流,允许以 print 和 echo 一样的方式写入到输出缓冲区

php://fd ## (>=5.3.6)允许直接访问指定的文件描述符;如 php://fd/3 引用了文件描述符3

php://memory ## (>=5.1.0)一个类似文件包装器的数据流,允许读写临时数据。两者的唯一区别是
php://temp ## php://memory 总是把数据储存在内存中,而 php://temp 会在内存量达到预定义
## 的限制后(默认是2MB)存入临时文件中。临时文件位置的决定和 sys_get_temp_dir()
## 的方式一致

php://filter
参数:
resource=<要过滤的数据流> ## 必须项。它指定了你要筛选过滤的数据流。
read=<读链的过滤器> ## 可选项。可以设定一个或多个过滤器名称,以管道符(**)分隔。
write=<写链的过滤器> ## 可选项。可以设定一个或多个过滤器名称,以管道符(\)分隔。
<; 两个链的过滤器> ## 任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。

	可选过滤器列表:
		
		字符串过滤器:
			string.rot13					## 等同于str_rot13(),rot13变换
			string.toupper				## 等同于strtoupper(),转大写字母
			string.tolower				## 等同于strtolower(),转小写字母
			string.strip_tags			## 等同于strip_tags(),去除html、PHP语言标签
			
		转换过滤器:
			convert.base64-encode & convert.base64-decode							## 等同于base64_encode()和base64_decode(),base64编码解码
			convert.quoted-printable-encode & convert.quoted-printable-decode		## quoted-printable 字符串与 8-bit 字符串编码解码
			
		压缩过滤器:
			zlib.deflate & zlib.inflate			## 在本地文件系统中创建 gzip 兼容文件的方法,但不产生命令行工具如 gzip的头和尾信息。只是压缩和解压数据流中的有效载荷部分。
			bzip2.compress & bzip2.decompress	## 同上,在本地文件系统中创建 bz2 兼容文件的方法。
		
		加密过滤器:
			mcrypt.*				## libmcrypt 对称加密算法
			mdecrypt.*			## libmcrypt 对称解密算法
		
例子:php://filter/read=convert.base64-encode/resource=[文件名]

zip:// & bzip2:// & zlib:// ## zip:// & bzip2:// & zlib:// 均属于压缩流,可以访问压缩文件中的子文件,
## 更重要的是不需要指定后缀名,可修改为任意后缀:jpg png gif xxx 等等
条件: allow_url_fopen:off/on
allow_url_include:off/on

例子:	zip://[压缩文件绝对路径]%23[压缩文件内的子文件名]
			compress.bzip2://file.bz2
			compress.zlib://file.gz

data:// ## PHP>=5.2.0,使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码
条件: allow_url_fopen:on
allow_url_include:on

data://text/plain,
data://text/plain;base64,

例子:	data://text/plain,<?php%20phpinfo();?>

http:// & https:// ## 允许通过 HTTP 1.0 的 GET方法,以只读访问文件或资源
条件: allow_url_fopen:on
allow_url_include:on

phar:// ## 类似 zip:// 访问zip格式压缩包内容

CrashCode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP实现用‘%20‘替换字符串中的所有空格的算法(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
04-18 61
PHP实现用‘%20‘替换字符串中的所有空格的算法(附完整源码)
php伪协议 过滤,[WEB安全]PHP伪协议总结
weixin_35679132的博客
03-19 310
0x01 简介首先来看一下有哪些文件包含函数:include、require、include_once、require_once、highlight_fileshow_source 、readfile 、file_get_contents 、fopen 、file有哪些伪协议:file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) U...
php中将url中的参数含有%20进行转换或解码
夏已微凉、
06-30 1184
php中将url中的参数含有%20进行转换或解码 1、我的url: .......index.php?action=search&start=12&search=star wave&orderby=categories&showtype=pageshttp://www.cnblogs.com/share123/admin/EditPosts.aspx?opt=1 2、我...
php url空格转 20,URL编码中关于空格转换%20还是+的问题
weixin_35740875的博客
03-26 520
W3C标准规定,当Content-Type为application/x-www-form-urlencoded时,URL中查询参数名和参数值中空格要用加号+替代,所以几乎所有使用该规范的浏览器在表单提交后,URL查询参数中空格都会被编成加号+。而在另一份规范(RFC 2396,定义URI)里, URI里的保留字符都需转义成%HH格式(Section 3.4 Query Component),因此空...
php伪协议.zipphp伪协议.zip
02-24
PHP伪协议】是PHP中一种特殊的机制,它允许开发者通过特定的URL格式来访问和操作服务器上的资源,比如文件系统、数据库等。这个概念在PHP的早期版本中较为常见,但出于安全考虑,现代PHP环境中已经对伪协议的使用...
php伪协议概述.pdf
02-24
PHP伪协议是一种特殊的URL协议,用于在PHP中进行文件操作。它允许在URL中指定文件路径,并通过内置的PHP函数来访问和操作文件内容。
什么是php伪协议,并举例说明
最新发布
02-25
PHP伪协议PHP中一种特殊的机制,它允许开发者在PHP代码中通过特定的字符串格式来访问和处理非标准的数据源,这些数据源可能不是实际的网络协议,而是PHP内部或者自定义的数据接口。PHP伪协议的使用极大地扩展了PHP...
php伪协议.pdfphp伪协议.pdfphp伪协议.pdf
02-24
php伪协议php伪协议.pdfphp伪协议.pdf
php伪协议的解释.txt
02-24
php伪协议
PHP命令执行集锦
蚁景网安学院
03-21 2353
代码审计总要遇到命令执行或者说RCE,打CTF的过程中难免不会碰见,毕竟PHP是世界上最好的语言,总结一下...
url中的20%、22%、26%、7B%、%7D、28%、29%怎么解析还原成真实的字符
热门推荐
透明大脑
09-21 19万+
URL编码表 backspace 8% A 41% a 61% § %A7 Õ %D5   tab 9% B 42% b 62% « %AB Ö %D6   linefeed %0A C 43% c
php url空格转 20方法,URL中关于空格的编码转换成+或转换成%20的问题
weixin_33892912的博客
03-24 1326
本人Android开发,某一天,被告知自己程序URL的编码中,空格被转换成了+,导致对方识别不成空格。当然我清楚的记得我是使用了URLEncoder的编码和解码方法,并无其他操作,而且这可是JDK提供的方法,因此我直接进行了测试URLEncoder.encode("张三 妈妈","UTF-8")其输出结果为:%E5%BC%A0%E4%B8%89+%E5%A6%88%E5%A6%88跟上面描述的现象...
202014年最优秀的PHP框架
Joey_zoe的专栏
08-13 1178
202014年最优秀的PHP框架 2014-08-12    分类:WEB、编程开发 本文是码农网原创翻译,转载请看清文末的转载要求,谢谢合作! 对于Web开发者来说,PHP是一款非常强大而又受欢迎的编程语言。世界上很多顶级的网站都是基于PHP开发的。本文我们来回顾一下202014年最优秀的PHP框架。 每一个开发者都知道,拥有一个强大的框架可以让开发工
php伪协议常用代码
08-05
常用的PHP伪协议代码包括: 1. 使用php://input执行PHP代码:这种方法可以通过将PHP代码作为POST数据传递,然后使用php://input伪协议来执行代码。例如,可以使用以下代码来执行phpinfo()函数并将结果输出到页面上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值