深入剖析PHP输入流 php://input

最新推荐文章于 2021-04-02 07:35:27 发布
最新推荐文章于 2021-04-02 07:35:27 发布
阅读量281 收藏
点赞数
分类专栏: php一些知识点的研究
转自 http://www.nowamagic.net/academy/detail/12220520
  1. Chapter: PHP与Stream流
    1. 1. 获取PHP流支持的协议、socket与过滤器
    2. 2. PHP对自己I/O流访问的封装
    3. 3. 罗列一些PHP常用的stream函数集
    4. 4. 深入剖析PHP输入流 php://input
    5. 5. 利用PHP输入流发送图片
PHP输入流php://input

在使用xml-rpc的时候,server端获取client数据,主要是通过php输入流input,而不是$_POST数组。所以,这里主要探讨php输入流php://input

对于php://input介绍,PHP官方手册文档有一段话对它进行了很明确地概述:

“php://input allows you to read raw POST data. It is a less memory intensive alternative to $HTTP_RAW_POST_DATA and does not need any special php.ini directives. php://input is not available with enctype=”multipart/form-data”.

翻译过来,是这样:

“php://input可以读取没有处理过的POST数据。相较于$HTTP_RAW_POST_DATA而言,它给内存带来的压力较小,并且不需要特殊的php.ini设置。php://input不能用于enctype=multipart/form-data”

我们应该怎么去理解这段概述呢?我把它划分为三部分,逐步去理解:

  1. 读取POST数据
  2. 不能用于multipart/form-data类型
  3. php://input VS $HTTP_RAW_POST_DATA
读取POST数据

PHPer们一定很熟悉$_POST这个内置变量。$_POST与php://input存在哪些关联与区别呢?另外,客户端向服务端交互数据,最常用的方法除了POST之外,还有GET。既然php://input作为PHP输入流,它能读取GET数据吗?这二个问题正是我们这节需要探讨的主要内容。

经验告诉我们,从测试与观察中总结,会是一个很凑效的方法。这里,我写了几个脚本来帮助我们测试。

1 @file 192.168.0.6:/phpinput_server.php 打印出接收到的数据
2 @file 192.168.0.8:/phpinput_post.php 模拟以POST方法提交表单数据
3 @file 192.168.0.8:/phpinput_xmlrpc.php 模拟以POST方法发出xmlrpc请求.
4 @file 192.168.0.8:/phpinput_get.php 模拟以GET方法提交表单表数

phpinput_server.php与phpinput_post.php

1 //@file phpinput_server.php
2 $raw_post_data file_get_contents('php://input''r');
3 echo "-------\$_POST------------------\n";
4 echo var_dump($_POST) . "\n";
5 echo "-------php://input-------------\n";
6 echo $raw_post_data "\n";
01 //@file phpinput_post.php
02 $http_entity_body 'n=' . urldecode('perfgeeks') . '&p=' . urldecode('7788');
03 $http_entity_type 'application/x-www-form-urlencoded';
04 $http_entity_length strlen($http_entity_body);
05 $host '192.168.0.6';
06 $port = 80;
07 $path '/phpinput_server.php';
08 $fp fsockopen($host$port$error_no$error_desc, 30);
09 if ($fp) {
10   fputs($fp"POST {$path} HTTP/1.1\r\n");
11   fputs($fp"Host: {$host}\r\n");
12   fputs($fp"Content-Type: {$http_entity_type}\r\n");
13   fputs($fp"Content-Length: {$http_entity_length}\r\n");
14   fputs($fp"Connection: close\r\n\r\n");
15   fputs($fp$http_entity_body "\r\n\r\n");
16   
17   while (!feof($fp)) {
18     $d .= fgets($fp, 4096);
19   }
20   fclose($fp);
21   echo $d;
22 }

我们可以通过使用工具ngrep抓取http请求包(因为我们需要探知的是php://input,所以我们这里只抓取http Request数据包)。我们来执行测试脚本phpinput_post.php

01 @php /phpinput_post.php
02 HTTP/1.1 200 OK
03 Date: Thu, 08 Apr 2010 03:23:36 GMT
04 Server: Apache/2.2.3 (CentOS)
05 X-Powered-By: PHP/5.1.6
06 Content-Length: 160
07 Connection: close
08 Content-Type: text/html; charset=UTF-8
09 -------$_POST------------------
10 array(2) {
11   ["n"]=> string(9) "perfgeeks"
12   ["p"]=> string(4) "7788"
13 }
14 -------php://input-------------
15 n=perfgeeks&p=7788

通过ngrep抓到的http请求包如下:

1 T 192.168.0.8:57846 -> 192.168.0.6:80 [AP]
2   POST /phpinput_server.php HTTP/1.1..
3   Host: 192.168.0.6..Content-Type: application/x-www-form-urlencoded..Co
4   ntent-Length: 18..Connection: close....n=perfgeeks&p=7788....

仔细观察,我们不难发现:

  1. $_POST数据,php://input 数据与httpd entity body数据是“一致”的。
  2. http请求中的Content-Type是application/x-www-form-urlencoded ,它表示http请求body中的数据是使用http的post方法提交的表单数据,并且进行了urlencode()处理。

(注:注意加粗部分内容,下文不再提示)。

我们再来看看脚本phpinput_xmlrpc.php的原文件内容,它模拟了一个POST方法提交的xml-rpc请求。

01 //@file phpinput_xmlrpc.php
02 $http_entity_body "\n\n   jt_userinfo\n";
03 $http_entity_type 'text/html';
04 $http_entity_length strlen($http_entity_body);
05 $host '192.168.0.6';
06 $port = 80;
07 $path '/phpinput_server.php';
08 $fp fsockopen($host$port$error_no$error_desc, 30);
09 if ($fp) {
10   fputs($fp"POST {$path} HTTP/1.1\r\n");
11   fputs($fp"Host: {$host}\r\n");
12   fputs($fp"Content-Type: {$http_entity_type}\r\n");
13   fputs($fp"Content-Length: {$http_entity_length}\r\n");
14   fputs($fp"Connection: close\r\n\r\n");
15   fputs($fp$http_entity_body "\r\n\r\n");
16   while (!feof($fp)) {
17     $d .= fgets($fp, 4096);
18   }
19   
20   fclose($fp);
21   echo $d;
22 }

同样地,让我们来执行这个测试脚本:

01 @php /phpinput_xmlrcp.php
02 HTTP/1.1 200 OK
03 Date: Thu, 08 Apr 2010 03:47:18 GMT
04 Server: Apache/2.2.3 (CentOS)
05 X-Powered-By: PHP/5.1.6
06 Content-Length: 154
07 Connection: close
08 Content-Type: text/html; charset=UTF-8
09  
10 -------$_POST------------------
11 array(0) {
12 }
13  
14 -------php://input-------------
15 <?xml version="1.0">
16 <methodcall>
17    <name>jt_userinfo</name>
18 </methodcall>

执行这个脚本的时候,我们通过ngrep抓取的http请求数据包如下:

1 T 192.168.0.8:45570 -> 192.168.0.6:80 [AP]
2   POST /phpinput_server.php HTTP/1.1..
3   Host: 192.168.0.6..Content-Type: text/html..Content-Length: 75..Connec
4   tion: close....<?xml version="1.0">.<methodcall>.   <name>jt_userinfo<
5   /name>.</methodcall>....

同样,我样也可以很容易地发现:

  1. http请求中的Content-Type是text/xml。它表示http请求中的body数据是xml数据格式。
  2. 服务端$_POST打印出来的是一个空数组,即与http entity body不一致了。这跟上个例子不一样了,这里的Content-Type是text/xml,而不是application/x-www-form-urlencoded
  3. 而php://input数据还是跟http entity body数据一致。也就是php://input数据和$_POST数据不一致了。

我们再来看看通过GET方法提交表单数据的情况,php://input能不能读取到GET方法的表单数据?在这里,我们稍加改动一下phpinput_server.php文件,将$_POST改成$_GET。

1 //@file phpinput_server.php
2 $raw_post_data file_get_contents('php://input''r');
3 echo "-------\$_GET------------------\n";
4 echo var_dump($_GET) . "\n";
5 echo "-------php://input-------------\n";
6 echo $raw_post_data "\n";
01 //@file phpinput_get.php
02 $query_path 'n=' . urldecode('perfgeeks') . '&p=' . urldecode('7788');
03 $host '192.168.0.6';
04 $port = 80;
05 $path '/phpinput_server.php';
06 $d '';
07 $fp fsockopen($host$port$error_no$error_desc, 30);
08 if ($fp) {
09   fputs($fp"GET {$path}?{$query_path} HTTP/1.1\r\n");
10   fputs($fp"Host: {$host}\r\n");
11   fputs($fp"Connection: close\r\n\r\n");
12   
13   while (!feof($fp)) {
14     $d .= fgets($fp, 4096);
15   }
16   fclose($fp);
17   echo $d;
18  }

同样,我们执行下一phpinput_get.php测试脚本,它模拟了一个通常情况下的GET方法提交表单数据。

01 @php /phpinput_get.php
02 HTTP/1.1 200 OK
03 Date: Thu, 08 Apr 2010 07:38:15 GMT
04 Server: Apache/2.2.3 (CentOS)
05 X-Powered-By: PHP/5.1.6
06 Content-Length: 141
07 Connection: close
08 Content-Type: text/html; charset=UTF-8
09  
10 -------$_GET------------------
11 array(2) {
12   ["n"]=>
13   string(9) "perfgeeks"
14   ["p"]=>
15   string(4) "7788"
16 }
17  
18 -------php://input-------------

在这个时候,使用ngrep工具,捕获的相应的http请求数据包如下:

1 T 192.168.0.8:36775 -> 192.168.0.6:80 [AP]
2   GET /phpinput_server.php?n=perfgeeks&p=7788 HTTP/1.1..
3   Host: 192.168.0.6..Connection: close....

比较POST方法提交的http请求,通常GET方法提交的请求中,entity body为空。同时,不会指定Content-Type和Content-Length。但是,如果强硬数据http entity body,并指明正确地Content-Type和Content-Length,那么php://input还可是读取得到http entity body数据,但不是$_GET数据。

所根据,上面几个探测,我们可以作出以下总结:

  1. Content-Type取值为application/x-www-form-urlencoded时,php会将http请求body相应数据会填入到数组$_POST,填入到$_POST数组中的数据是进行urldecode()解析的结果。(其实,除了该Content-Type,还有multipart/form-data表示数据是表单数据,稍后我们介绍)
  2. php://input数据,只要Content-Type不为multipart/form-data(该条件限制稍后会介绍)。那么php://input数据与http entity body部分数据是一致的。该部分相一致的数据的长度由Content-Length指定。
  3. 仅当Content-Type为application/x-www-form-urlencoded且提交方法是POST方法时,$_POST数据与php://input数据才是”一致”(打上引号,表示它们格式不一致,内容一致)的。其它情况,它们都不一致。
  4. php://input读取不到$_GET数据。是因为$_GET数据作为query_path写在http请求头部(header)的PATH字段,而不是写在http请求的body部分。

这也帮助我们理解了,为什么xml_rpc服务端读取数据都是通过file_get_contents(‘php://input’, ‘r’)。而不是从$_POST中读取,正是因为xml_rpc数据规格是xml,它的Content-Type是text/xml。

php://input碰到了multipart/form-data

上传文件的时候,表单的写法是这样的:

1 <form enctype="multipart/form-data" action="phpinput_server.php"method="POST" >
2     <input type="text" name="n"  />
3     <input type="file" name="f" />
4     <input type="submit" value="upload now" />
5 </form>

那么,enctype=multipart/form-data这里的意义,就是将该次http请求头部(head)中的Content-Type设置为multipart/form-data。请查阅RFC1867对它的描述。multipart/form-data也表示以POST方法提交表单数据,它还伴随了文件上传,所以会跟application/x-www-form-urlencoded数据格式不一样。它会以一更种更合理的,更高效的数据格式传递给服务端。我们提交该表单数据,并且打印出响应结果,如下:

1 -------$_POST------------------
2 array(1) { ["n"]=> string(9) "perfgeeks" }
3 -------php://input-------------

同时,我们通过ngrep抓取的相应的http请求数据包如下:

01 ########
02 T 192.168.0.8:3981 -> 192.168.0.6:80 [AP]
03   POST /phpinput_server.php HTTP/1.1..Host: 192.168.0.6..Connection: kee
04   p-alive..User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) A
05   ppleWebKit/533.2 (KHTML, like Gecko) Chrome/5.0.342.3 Safari/533.2..Re
06   ferer: http://192.168.0.6/phpinput_server.php..Content-Length: 306..Ca
07   che-Control: max-age=0..Origin: http://192.168.0.6..Content-Type: mult
08   ipart/form-data; boundary=----WebKitFormBoundarybLQwkp4opIEZn1fA..Acce
09   pt: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q
10   =0.8,image/png,*/*;q=0.5..Accept-Encoding: gzip,deflate,sdch..Accept-L
11   anguage: zh-CN,zh;q=0.8..Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3..Cook
12   ie: SESS3b0e658f87cf58240de13ab43a399df6=lju6o5bg8u04lv1ojugm2ccic6...
13   .
14 ##
15 T 192.168.0.8:3981 -> 192.168.0.6:80 [AP]
16   ------WebKitFormBoundarybLQwkp4opIEZn1fA..Content-Disposition: form-da
17   ta; name="n"....perfgeeks..------WebKitFormBoundarybLQwkp4opIEZn1fA..C
18   ontent-Disposition: form-data; name="f"; filename="test.txt"..Content-
19   Type: text/plain....i am file..multipart/form-data..------WebKitFormBo
20   undarybLQwkp4opIEZn1fA--..
21 ##

从响应输出来比对,$_POST数据跟请求提交数据相符,即$_POST = array(‘n’ => ‘perfgeeks’)。这也跟http请求body中的数据相呼应,同时说明PHP把相应的数据填入$_POST全局变量。而php://input输出为空,没有输出任何东西,尽管http请求数据包中body不为空。这表示,当Content-Type为multipart/form-data的时候,即便http请求body中存在数据,php://input也为空,PHP此时,不会把数据填入php://input流。所以,可以确定: php://input不能用于读取enctype=multipart/form-data数据。

我们再比较这次通过ngrep抓取的http请求数据包,我们会发现,最大不同的一点是Content-Type后面跟了boundary定义了数据的分界符,bounday是随机生成的。另外一个大不一样的,就是http entity body中的数据组织结构不一样了。

上一节,我们概述了,当Content-Type为application/x-www-form-urlencoded时,php://input和$_POST数据是“一致”的,为其它Content-Type的时候,php://input和$_POST数据数据是不一致的。因为只有在Content-Type为application/x-www-form-urlencoded或者为multipart/form-data的时候,PHP才会将http请求数据包中的body相应部分数据填入$_POST全局变量中,其它情况PHP都忽略。而php://input除了在数据类型为multipart/form-data之外为空外,其它情况都可能不为空。通过这一节,我们更加明白了php://input与$_POST的区别与联系。所以,再次确认,php://input无法读取enctype=multipart/form-data数据,当php://input遇到它时,永远为空,即便http entity body有数据。

php://input VS $http_raw_post_data

相信大家对php://input已经有一定深度地了解了。那么$http_raw_post_data是什么呢?$http_raw_post_data是PHP内置的一个全局变量。它用于,PHP在无法识别的Content-Type的情况下,将POST过来的数据原样地填入变量$http_raw_post_data。它同样无法读取Content-Type为multipart/form-data的POST数据。需要设置php.ini中的always_populate_raw_post_data值为On,PHP才会总把POST数据填入变量$http_raw_post_data。

把脚本phpinput_server.php改变一下,可以验证上述内容:

1 $raw_post_data file_get_contents('php://input''r');
2 $rtn = ($raw_post_data == $HTTP_RAW_POST_DATA) ? 1 : 0;
3 echo $rtn;

执行测试脚本:

1 @php phpinput_post.php
2 @php phpinput_get.php
3 @php phpinput_xmlrpc.php

得出的结果输出都是一样的,即都为1,表示php://input和$HTTP_RAW_POST_DATA是相同的。至于对内存的压力,我们这里就不做细致地测试了。有兴趣的,可以通过xhprof进行测试和观察。

以此,我们这节可以总结如下:

  1. php://input 可以读取http entity body中指定长度的值,由Content-Length指定长度,不管是POST方式或者GET方法提交过来的数据。但是,一般GET方法提交数据时,http request entity body部分都为空。
  2. php://input 与$HTTP_RAW_POST_DATA读取的数据是一样的,都只读取Content-Type不为multipart/form-data的数据。
小结
  1. Coentent-Type仅在取值为application/x-www-data-urlencoded和multipart/form-data两种情况下,PHP才会将http请求数据包中相应的数据填入全局变量$_POST
  2. PHP不能识别的Content-Type类型的时候,会将http请求包中相应的数据填入变量$HTTP_RAW_POST_DATA
  3. 只有Coentent-Type不为multipart/form-data的时候,PHP不会将http请求数据包中的相应数据填入php://input,否则其它情况都会。填入的长度,由Coentent-Length指定。
  4. 只有Content-Type为application/x-www-data-urlencoded时,php://input数据才跟$_POST数据相一致。
  5. php://input数据总是跟$HTTP_RAW_POST_DATA相同,但是php://input比$HTTP_RAW_POST_DATA更凑效,且不需要特殊设置php.ini
  6. PHP会将PATH字段的query_path部分,填入全局变量$_GET。通常情况下,GET方法提交的http请求,body为空。
topofgods
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php输入php://input使用浅析
01-21
从官网信息来看,php://input是一个只读信息,当请求方式是post的,并且enctype不等于”multipart/form-data”时,可以使用php://input来获取原始请求的数据。 看一个简单的例子。 客户端就是一个表单,非常简单。...
php输入,php获取输入
weixin_42137723的博客
03-11 151
Note:A stream opened with php://input can only be readonce; the stream does not support seek operations. However, dependingon the SAPI implementation, it may be possible to open anotherphp://input str...
php微信上传图文永久素材,微信新增永久图文素材前上传图文内容中图片的方法...
weixin_39789094的博客
04-02 291
调用微信公众平台新增永久图文素材接口时,由于微信会过滤外部的图片链接,所以开发者需要提前将图片上传获得URL,放在图文内容中使用。本文提供了使用java代码,逐个获取图文内容中的图片,并上传图片和替换图文内容中的url(另附java模拟使用curl命令,用FORM表单方式上传一个图片方法)。//替换字符串中的src//ynr 图文内容//index 从第几个字符开始替换private String...
php++isfile,浅谈PHP中Stream(
weixin_39900180的博客
03-10 217
(stream)的概念源于UNIX中管道(pipe)的概念。在UNIX中,管道是一条不间断的字节,用来实现程序或进程间的通信,或读写外围设备、外部文件等。根据的方向又可以分为输入和输出,同时可以在其外围再套上其它,比如缓冲,这样就可以得到更多处理方法。PHP里的和Java里的实际上是同一个概念,只是简单了一点。由于PHP主要用于Web开发,所以“”这块的概念被提到的较少。如果...
php inputstream,PHP实现java中的DatainputStream类.
weixin_32989877的博客
03-12 204
在项目中,碰到一个解析的操作,php里面没有现成的类.那没办法,只能用二进制模式打开文件,再和java的datainputstream对比着打开文件,一个一个的实现读取和解析.废话不多说,代码贴出,其实很简单很简单.DataInputStream.php...
php文件读写
test
02-28 2633
http://blog.csdn.net/fdipzone/article/details/40098169http://blog.csdn.net/fdipzone/article/details/49518535
PHP输入php://input介绍
12-19
对一php://input介绍,PHP官方手册文档有一段话对它进行了很明确地概述。 “php://input allows you to read raw POST data. It is a less memory intensive alternative to $...
php输入php://input使用示例(php发送图片到服务器)
12-19
从官网信息来看,php://input是一个只读信息,当请求方式是post的,并且enctype不等于”multipart/form-data”时,可以使用php://input来获取原始请求的数据。 看一个简单的例子。 客户端就是一个表单,非常简单。...
PHP输入php://input实例讲解
12-18
对于php://input介绍,PHP官方手册文档有一段话对它进行了很明确地概述。 “php://input allows you to read raw POST data. It is a less memory intensive alternative to$...
分析php://output和php://stdout的区别
12-18
PHP的官方文献中找答案,对输入php://stdin和php://input的解释分别如下(输出的解释过于简略): php://stdin php://stdin, php://stdout and php://stderr allow direct access to the corresponding input...
PHP中使用php://input处理相同name值的表单数据
12-19
经过差不多一年时间的沉淀,发现php提供原始的访问输入/输出的方法,POST的数据可以通过php://input来获取: 复制代码 代码如下: php://input 是个可以访问请求的原始数据的只读。 POST 请求的情况下,最好使用 ...
layui 输入筛选选择 插件 基于https://layui.tool.hi.cn/extend/selectInput/in
最新发布
01-31
layui 输入筛选选择 插件 基于https://layui.tool.hi.cn/extend/selectInput/in
PHP输入输出学习笔记
12-18
PHP输入和输出是通过php://来访问的,它允许访问 PHP输入输出、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件以及可以操作其他读取写入文件资源的过滤器。 php://stdin, php://stdout 和 ...
跟汤老师学Java(第15季):I/O输入输出
06-13
 输入、输出  字节、字符  节点、包装 4.字节  InputStream:FileInputStream、ByteArrayInputStream、ObjectInputStream  OutputStream:FileOutputStream、ByteArrayOutputStream、...
根据输入的路径,php自动生成并输出图片
02-26
1)目前只是png的后缀,其他的后缀可以自己修改 2)根据字体文件的大小,字体文件包太小的话个别汉字会出现???现象 3)字体太多或者太少,可能样式不是很好看,需要自己具体调节一下 ...5这里有两个地方需要修改一下,否则在...
FileInputStream
陈铁锋的博客
06-28 1530
FileInputStream类 如果用户的文件读取需求比较简单,则可以使用FileInputStream类,该类是InputStream的子类,提供了基本的文件读取功能。 FileInputStream类的常用构造方法如下: Ø  FileInputStream( String name ):使用给定的文件名name,创建一个FileInputStream对象。 Ø  FileInput
FileInputStream简单用法
不羁的九月
11-05 3903
FileInputStream 从文件系统中的某个文件中获得输入字节。使用FileInputStream读取文件数据的步骤: 1. 找到目标文件 2. 建立数据的输入通道。 3. 读取文件中的数据。 4. 关闭资源.具体使用方式如下:方式一: public static void readTest1() throws IOException{
FileInputStream 读取txt文件内容
Able
11-25 6004
import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; public class FInputStream { /** * @param args */ public stat
FileInputStream读取文件数据的两种方式
热门推荐
.
09-18 8万+
FileInputStream(文件字节读取): read():一个一个字节的读 read(byte[] buf):先把字节存入到缓冲区字节数组中,一下读一个数组(常用) import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java....
php输入php://input的使用分析
06-08
php://input 是一个可以用来读取 HTTP 请求体的输入。在 PHP 中,当我们需要从 POST 请求中获取数据时,可以使用 $_POST 变量来获取,但是当请求中包含非表单数据(如 JSON 数据)时,$_POST 变量将为空。这时候就...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值