php的file_put_contents()是不安全的?

最新推荐文章于 2024-06-03 17:17:24 发布
最新推荐文章于 2024-06-03 17:17:24 发布
阅读量707 收藏 7
点赞数 8
分类专栏: php 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jkzyx123/article/details/135765698
版权

file_put_contents() 在 PHP 中是一个常用的函数,它提供了一种快捷方式来将一个字符串写入到文件中。这个函数默认情况下是同步操作,并且在多数场景下是安全的,但是它有几个方面的潜在问题,可能导致某些人认为它“不安全”:

  1. 原子性file_put_contents() 在写入数据时,默认情况下不保证原子性。如果多个进程或线程同时写入同一个文件,可能会相互覆盖数据,导致文件内容出现竞态条件(race condition)。要实现原子写入,可以使用 LOCK_EX 标志锁定文件,从而避免同时写操作。

    file_put_contents('example.txt', 'data', LOCK_EX);

  2. 数据持久化:如前所述,虽然 file_put_contents() 会立即把数据传递给操作系统,但操作系统可能会将数据缓存起来,稍后再写入磁盘。这是为了提高性能,但在突然断电或系统崩溃的情况下可能导致数据丢失。如果需要确保数据立刻写入磁盘,在写入数据后需要调用 fflush()fsync()fsync() 是 PHP 8.1 新增的函数),或者直接使用具有同步写特性的文件系统或数据库。

  3. 权限问题:如果脚本试图写入没有权限的文件或目录,那么 file_put_contents() 会失败。此外,如果文件是由 web 应用程序创建的,那么可能会有更宽松的权限设置,这可能引起安全问题。

  4. 错误处理file_put_contents() 函数在写入失败时返回 false,但如果不检查返回值,则可能不会察觉到错误发生。应该总是检查 file_put_contents() 的返回值并适当处理错误。

    if (file_put_contents('example.txt', 'data') === false) {
    // 处理错误
}

综上所述,file_put_contents() 在正常情况下工作得很好,并且对于简单的文件写入操作是足够安全的。但是,如果你的应用程序需要保证数据完整性和一致性,特别是在高并发或关键数据写入的场景中,你需要采取额外的措施以确保安全,比如使用文件锁、事务处理机制、或进行错误检查和恰当的异常处理。

半桶水专家
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中危险的file_put_contents函数详解
10-19
file_put_contents() 函数把一个字符串写入文件中。最近发现file_put_contents函数有一直没注意到的问题,所以下面这篇文章主要给大家介绍了关于PHP中危险的file_put_contents函数的相关资料,需要的朋友可以参考借鉴,下面来一起看吧。
PHP中fwrite与file_put_contents性能测试代码
10-27
里测试的是往文件中写一百万行记录,如果数据量很小,比如1000条左右的记录,可能差距不大
PHP代码审计——任意文件写入漏洞(LvyeCms)
W小哥
08-19 2628
一、代码审计 在add()方法,首先判断通过POST传递
php将配置信息写入文件,Php写入配置文件的经典漏洞
weixin_42313675的博客
03-29 356
phithon师父在小蜜圈里放了一个经典的配置文件写入问题漏洞.if(!isset($_GET['option'])) die();$str = addslashes($_GET['option']);$file = file_get_contents('./config.php');$file = preg_replace('|\$option=\'.*\';|', "\$option='$st...
php伪协议漏洞_文件包含漏洞与PHP伪协议
weixin_35262577的博客
01-17 254
PHP中支持的伪协议file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流(I/O streams)zlib:// — 压缩流data:// — 数据(RFC 2397)glob:// — 查找匹配的文件路径模式phar:// — PHP 归档ssh2:// — Secure Shell...
PHP文件包含漏洞(利用phpinfo)
EC_Carrot的博客
07-19 703
漏洞详细 该漏洞与PHP版本无关,详细请看:https://github.com/vulhub/vulhub/blob/master/php/inclusion/README.zh-cn.md 漏洞复现 我使用的是vulhub的环境,环境目录内自带脚本exp.py,利用成功包含临时文件后,会执行<?php file_put_contents('/tmp/g', '<?=eval($_REQUEST[1])?>')?>,写入一个新的文件/tmp/g,这个文件就会永久留在目标机器上。 使
TOP10漏洞之文件包含
weixin_44255856的博客
12-09 1100
前沿 很早之前就学习了top10的漏洞,但是对于我自己来说基本上就大体的过来一遍,有一句话就是学习好基础,让你少奋斗两年, 于是我现在又来过一遍top10漏洞。在这些中主要侧重于我自己的思路。 ##文件包含含义: 文件包含在我的理解来说就是程序员在自己写代码是要调用其他的文件,使用包含文件的函数。在我们耳中关于文件包含漏洞的存在基本在php,但是在jsp, asp中同样也存在文件包含。 于是在这篇...
php file_put_contents 保存不了,关于filephp file_put_contents函数不起作用
weixin_42422285的博客
03-10 523
为什么file_put_contents拒绝为以下代码工作?$f = file_put_contents("files/r.js","Some text here");if ($f) print 1;else print 0;如果您删除该代码,将会发生什么。.页面的其余部分是否正常显示?谁是"它",谁给你一个错误? 您以什么形式收到此错误? 您确定完全可以看到PHP错误吗?你读过这个问题吗? 他说...
PHPfile_put_contents追加和换行的实现方法
01-20
PHP的一些应用中需要写日志或者记录一些信息,这样的话。可以使用fopen(),fwrite()以及 fclose()这些进行操作。也可以简单的使用file_get_contents()...int file_put_contents
解决PHP curl或file_get_contents下载图片损坏或无法打开的问题
10-16
今天小编就为大家分享一篇解决PHP curl或file_get_contents下载图片损坏或无法打开的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
PHP文件包含漏洞总结
坚持硬核
10-07 3079
首先,我们学习两个函数:require(string) include(string)这两个函数的作用是相同的, 就是将一个文件的内容包含在其所在的php代码中。 例如:我们写了一个1.txt文件放在服务器上,其内容为:<?php phpinfo()?> 当我们去请求这个页面的时候,自然而然,页面会原封不动的将这句话显示出来,那么有什么骚姿势可以让这句话作为php代码被解析呢? 嘿...
php命令的漏洞,PHP命令执行漏洞初探
weixin_31414515的博客
03-19 666
标签:PHP命令执行漏洞初探PHP 命令执行PHP提供如下函数用于执行外部应用程序;例如:system()、shell_exec()、exec()、passthru()system()$host = $argv[1];system("ping ".$host);?>在服务端运行php.exe index.php 192.168.2.1执行php.exe index.php "|net use...
文件包含漏洞
jpygx123的博客
10-25 3955
文件包含漏洞 严格来说,文件包含漏洞是“代码注入”的一种,这种攻击其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。 常见的导致文件包含(文件读取)的函数如下: PHP: include():使用此函数,只有代码执行到此函数时才将文件包含进来,发生错误时只警告并继续执行。 require():使用此函数,只要程序执行,立即调用此函数包含文件,发生错误时,会输出错误信息并立即终...
php fpdf使用记录
meis27461的博客
06-01 345
使用composer安装fpdf简单创建一个pdf文件并输出下载。
PhpSpreadsheet表格导出
最新发布
魍魉
06-03 485
使用PhpSpreadsheet多重表头生成excel 表。
用容器构建wordpress项目
weixin_53800035的博客
05-31 484
docker compose up #构建启动容器。
【全开源】知识付费问答社区(FastAdmin+ThinkPHP
2401_84413757的博客
05-29 470
知识付费问答社区的诞生,正是为了解决这一难题。无论是学校、培训机构还是企业、行业组织,都可以通过搭建自己的知识付费问答社区,为用户提供精准、专业的知识服务。
在线考试教学系统平台系统源码/视频教学系统PHP源码/在线考试系统PHP源码
12年全栈程序开发
06-01 357
在线考试教学系统平台系统源码,视频教学系统PHP源码,在线考试系统PHP源码。
php file_put_contents
03-03
`file_put_contents` 是一个 PHP 函数,用于将字符串写入文件中。该函数接受两个参数:第一个参数是要写入的文件名,第二个参数是要写入文件的内容。例如: ``` <?php $file = 'example.txt'; $data = '这是要写入文件的内容。'; file_put_contents($file, $data); ?> ``` 这段代码将字符串 `$data` 写入到名为 `example.txt` 的文件中。如果文件不存在,该函数会自动创建它。如果文件已经存在,该函数会覆盖原有的内容。 除了将字符串写入文件中,`file_put_contents` 还可以用来将数组和对象写入文件中。如果第二个参数是一个数组或对象,该函数会自动将它转换为字符串,然后写入文件中。例如: ``` <?php $file = 'example.txt'; $data = array('apple', 'banana', 'orange'); file_put_contents($file, $data); ?> ``` 这段代码将数组 `$data` 转换为字符串,然后写入到名为 `example.txt` 的文件中。注意,如果要写入的内容是数组或对象,需要在第三个参数中指定 `FILE_APPEND` 标志,以确保内容被追加到文件末尾,而不是覆盖原有的内容。例如: ``` <?php $file = 'example.txt'; $data1 = array('apple', 'banana', 'orange'); $data2 = array('pear', 'grape', 'kiwi'); file_put_contents($file, $data1); file_put_contents($file, $data2, FILE_APPEND); ?> ``` 这段代码先将数组 `$data1` 写入文件中,然后将数组 `$data2` 追加到文件末尾。最终,文件中的内容为: ``` apple banana orange pear grape kiwi ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值