(转)PHP中extract()函数的妙用

最新推荐文章于 2022-06-14 12:20:31 发布
最新推荐文章于 2022-06-14 12:20:31 发布
阅读量123 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/wanshutao/p/4500940.html
版权

近日在看一个牛人的代码时,看到一个非常好用的函数:extract(),它的主要作用是将数组展开,键名作为变量名,元素值为变量值,可以说为数组的操作提供了另外一个方便的工具,比方说,可以很方便的提取$_POST或者$_GET的元素,对表单提交上来的内容不能不用一一赋值,直接使用下面代码:

form.html


 <form action="action.php" method="post">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit">

在action.php中只要使用extract()函数将$_POST全局数据解开:
action.php


 <?php
extract($_POST);
//相当于$username = $_POST['username'];
//$password = $_POST['password'];
?>

是不是很方便呢?呵呵,下面是PHP手册里的详细解释:

extract
(PHP 4, PHP 5)

extract — 从数组中将变量导入到当前的符号表


说明
int extract ( array $var_array [, int $extract_type [, string $prefix ]] )

本函数用来将变量从数组中导入到当前的符号表中。接受结合数组 var_array 作为参数并将键名当作变量名,值作为变量的值。对每个键/值对都会在当前的符号表中建立变量,并受到 extract_type 和 prefix 参数的影响。


Note: 自版本 4.0.5 起本函数返回被提取的变量数目。

Note: EXTR_IF_EXISTS 和 EXTR_PREFIX_IF_EXISTS 是版本 4.2.0 中引进的。

Note: EXTR_REFS 是版本 4.3.0 中引进的。

extract() 检查每个键名看是否可以作为一个合法的变量名,同时也检查和符号表中已有的变量名的冲突。对待非法/数字和冲突的键名的方法将根据 extract_type 参数决定。可以是以下值之一:

EXTR_OVERWRITE 
如果有冲突,覆盖已有的变量。 
EXTR_SKIP 
如果有冲突,不覆盖已有的变量。 
EXTR_PREFIX_SAME 
如果有冲突,在变量名前加上前缀 prefix 。 
EXTR_PREFIX_ALL 
给所有变量名加上前缀 prefix 。自 PHP 4.0.5 起这也包括了对数字索引的处理。 
EXTR_PREFIX_INVALID 
仅在非法/数字的变量名前加上前缀 prefix 。本标记是 PHP 4.0.5 新加的。 
EXTR_IF_EXISTS 
仅在当前符号表中已有同名变量时,覆盖它们的值。其它的都不处理。可以用在已经定义了一组合法的变量,然后要从一个数组例如 $_REQUEST 中提取值覆盖这些变量的场合。本标记是 PHP 4.2.0 新加的。 
EXTR_PREFIX_IF_EXISTS 
仅在当前符号表中已有同名变量时,建立附加了前缀的变量名,其它的都不处理。本标记是 PHP 4.2.0 新加的。 
EXTR_REFS 
将变量作为引用提取。这有力地表明了导入的变量仍然引用了 var_array 参数的值。可以单独使用这个标志或者在 extract_type 中用 OR 与其它任何标志结合使用。本标记是 PHP 4.3.0 新加的。 
如果没有指定 extract_type ,则被假定为 EXTR_OVERWRITE。

注意 prefix 仅在 extract_type 的值是 EXTR_PREFIX_SAME,EXTR_PREFIX_ALL,EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS 时需要。如果附加了前缀后的结果不是合法的变量名,将不会导入到符号表中。前缀和数组键名之间会自动加上一个下划线。

extract() 返回成功导入到符号表中的变量数目。

Warning

不要对不能信任的数据使用 extract(),例如用户的输入($_GET,…)。如果这样做,举例说,要临时运行依赖于 register_globals 的老代码,要确保使用不会覆盖的 extract_type 值,例如 EXTR_SKIP,并且要留意应该按照 php.ini 中由 variables_order 定义的顺序来提取。

extract() 的一种可能用法是将 wddx_deserialize() 返回的结合数组中的内容导入到符号表变量中去。

Example#1 extract() 例子

<?php
/* 假定 $var_array 是 wddx_deserialize 返回的数组*/
$size = “large”;
$var_array = array(”color” => “blue”,
“size”  => “medium”,
“shape” => “sphere”);
extract($var_array, EXTR_PREFIX_SAME, “wddx”);
echo “$color, $size, $shape, $wddx_size\n”;
?>

上例将输出:

blue, large, sphere, medium

$size 没有被覆盖,因为指定了 EXTR_PREFIX_SAME,这使得 $wddx_size 被建立。如果指定了 EXTR_SKIP,则 $wddx_size 也不会被建立。EXTR_OVERWRITE 将使 $size 的值为“medium”,EXTR_PREFIX_ALL 将建立新变量 $wddx_color,$wddx_size 和 $wddx_shape。

必须使用关联数组,数字索引的数组将不会产生结果,除非用了 EXTR_PREFIX_ALL 或者 EXTR_PREFIX_INVALID。

转载于:https://www.cnblogs.com/wanshutao/p/4500940.html

anwudao8278
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP基础知识点】extract处理$_POST和$_GET数组的作用
JasonAPoint的博客
12-29 6183
extract处理$_POST和$_GET数组的作用
PHPextract()函数妙用
php|nginx|python|vue|redis|linux
11-12 1317
 近日在看一个牛人的代码时,看到一个非常好用的函数extract(),它的主要作用是将数组展开,键名作为变量名,元素值为变量值,可以说为数组的操作提供了另外一个方便的工具,比方说,可以很方便的提取$_POST或者$_GET的元素,对表单提交上来的内容不能不用一一赋值,直接使用下面代码:form.html在action.php只要使用extract()函数将$_POST全局数据解开:
[代码审计]ThinkPHP5的文件包含漏洞
姜小孩的博客
06-14 1046
目录漏洞影响范围漏洞分析POC我复现用的是5.1.15环境配置要将将 application/index/controller/Index.php 文件代码设置如下: 创建 application/index/view/index/index.html 文件,内容随意(没有这个模板文件的话,在渲染时程序会报错)先跟进assign方法再跟进array_merge() 函数用于把一个或多个数组合并为一个数组。只是赋值操作,跟进下面的fetch继续跟进用于引用当前对象。用于引用当前类。换句话说, 用于非静态成
linux常用命令详解(7)
zhangshaohuas的博客
10-11 1721
目录正则表达式一:cut(切割)二:sort(排序)三:uniq(去重)四:wc(计数)五:find()六:grep()七:sed()八:awk() 正则表达式 一:cut(切割) 二:sort(排序) 三:uniq(去重) 四:wc(计数) 五:find() 六:grep() 七:sed() 八:awk() ...
CTF第十二天
qq_52680097的博客
06-05 159
[安洵杯 2019]easy_serialize_php 前几天学了点反序列化,今天练练手 简单地说下序列化和反序列化后的格式 序列化后的结果是一串字符串。 反序列化会解开序列化的字符串生成相应类型的数据。 <?php $function = @$_GET['f'];//得到f传入的参数 //对输入的$img参数进行检验 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g');//定义一些字符
分享一些题目
..
12-06 886
一、无字母webshell,题目如下 <?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>40){ die("Long."); } if(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code); }else{
PHPextract()函数妙用分析
01-21
看到一个非常好用的函数extract(),它的主要作用是将数组展开,键名作为变量名,元素值为变量值,可以说为数组的操作提供了另外一个方便的工具,比方说,可以很方便的提取$_POST或者$_GET的元素,对表单提交上来的...
PHPextract()函数的定义和用法
12-18
定义和用法 PHP extract() 函数从数组把变量导入到当前的符号表。 对于数组的每个元素,键名用于变量名,键值用于变量值。 第二个参数 type 用于指定当某个变量已经存在,而数组又有同名元素时,extract() ...
php 数组处理函数extract详解及实例代码
12-18
extract函数用于从数组将变量导入到当前的符号表 基本语法 int extract ( array &$var_array [, int $extract_type = EXTR_OVERWRITE [, string $prefix = NULL ]] ) 本函数用来将变量从数组导入到当前的符号表...
php extract 变量覆盖,extract变量覆盖
weixin_33273250的博客
03-10 908
Bugkuctf题库的一道代码审计题,通过巧妙利用file_get_contents函数特性来绕过extract变量覆盖源代码如下:12345678910111213141516
extract($_POST[])
weixin_34209851的博客
10-10 1252
extract (PHP 3 &gt;= 3.0.7, PHP 4, PHP 5)extract-- 从数组将变量导入到当前的符号表 说明int extract ( array var_array [, int extract_type [, string prefix]] ) 本函数用来将变量从数组导入到当前的符号表。接受结合数组 var_array 作为参数并将键名当作...
PHP弱类型及绕过方式(一)
qidiandexiaowu
05-03 1857
前言:学长带着我们学习了一些PHP弱类型,现在总结记一下。 目录: 0×01.extract函数变量覆盖 0×02.strcmp函数数组漏洞 0×03.urldecode二次密码绕过 0×04.md5函数加密 0×05.数组返回NULL绕过 0×06.弱类型整数大小比较绕过 0×07.sha()函数比较绕过 ...
PHP数组函数extract 使用详解
lxw1844912514的博客
04-21 1023
extract—从数组将变量导入到当前的符号表 说明 extract(array&$array,int$flags=EXTR_OVERWRITE,string$prefix= ""):int 本函数用来将变量从数组导入到当前的符号表。 检查每个键名看是否可以作为一个合法的变量名,同时也检查和符号表已有的变量名的冲突。 警告 不要对不可信的数据使用extract(),类似用户输入 (例如$_GET、$_FILES)。 参数 array 一个关联数组...
AWD:web_yunnan_2
qq_38618396的博客
09-24 891
0x00 环境搭建 参考: team1:ctf:9a0b71fdda36c36506645794a4927e45 team2:ctf:4c79b2c32f29aec11a0545d440f5204b 0x01 漏洞&修复 后门漏洞证明 1、先登录ssh,然后现在自己服务器里面的文件,在通过D盾来扫描,查看是不是有什么后门,尽快排除后门: 从D盾上查看到2个地方可能存在后门,然后找到对应的文件,查看代码,发现 /includes/config.php是一个后门: <?php echo 'h
[安洵杯 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 2999
[安洵杯 2019]easy_serialize_php 反序列化
php 函数用法 extract()
qq_40162483的博客
05-01 374
extract() 函数 用于将一个数组内的值   赋予给它的键变量   在做一些配置时很有用  不需要在给键设置为变量再赋值,
php的变量覆盖漏洞前提,PHP的变量覆盖漏洞深入解析
weixin_36282704的博客
03-25 311
1.extract()变量覆盖1.extract()extract() 函数从数组将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组的每个元素,将在当前符号表创建对应的一个变量。该函数返回成功设置的变量数目。extract(array,extract_rules,prefix)参考引用:https://www.runoob.com/php/func-ar...
Bugku-代码审计-extract变量覆盖
多崎巡礼的博客
08-23 1742
代码审计|变量覆盖漏洞 0×00 背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目有关变量覆盖的题目结合下进一步研究。  通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开...
php extract 漏洞,PHP ZipArchive::extractTo() Directory Traversal Vulnerability
最新发布
05-24
PHP extract() 函数和 ZipArchive::extractTo() 方法都存在目录遍历漏洞,攻击者可以通过利用该漏洞读取、覆盖或删除服务器上的任意文件。 漏洞产生的原因是这两个函数没有对用户输入进行充分的验证和过滤,攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值