ThinkPHP 5 中Request file_get_contents(php://input) 探究

最新推荐文章于 2024-09-28 07:30:00 发布
最新推荐文章于 2024-09-28 07:30:00 发布
阅读量9.4k 收藏 14
点赞数 5
分类专栏: 编程框架 文章标签: thinkphp php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011069013/article/details/53064115
版权

目标

TP出了新版5.0.2 作为一个TP的老用户,当然需要研究研究了,在学习TP5的请求与响应时发现了TP一个特别有意思的类Request请求类。在构造方法类中看到今天的主人公 php://input 这个东西。先做一个标题党,不去研究TP5的Request类了,就研究清楚这个 php://input 就OK。毕竟本人之前未使用过这个协议。

官方解释

PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器

仅仅看 php://input

php://input是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_populate_raw_post_data 潜在需要更少的内存。 enctype="multipart/form-data" 的时候 php://input 是无效的

Note: 在 PHP 5.6 之前 php://input 打开的数据流只能读取一次; 数据流不支持 seek 操作。 不过,依赖于 SAPI 的实现,请求体数据被保存的时候, 它可以打开另一个 php://input 数据流并重新读取。 通常情况下,这种情况只是针对 POST 请求,而不是其他请求方式,比如 PUT 或者 PROPFIND。

通过官网的话可以看到,php://input 这个输入流 主要是和POST请求做对比。

php://input 与 POST 的异同

对比一
客户端:

<form action="php_L_input.php" method="post"  enctype="application/x-www-form-urlencoded">
    名称:<input type="text" name="name" />
    编号:<input type="text" name="number" />
    <input type="submit" value="提交" >
</form>

服务端

header('Content-type:text/html;charset=utf-8');
$php_input      =   file_get_contents("php://input");
var_dump(($php_input));
var_dump(urldecode($php_input));
echo '<hr/>';
var_dump($_POST);

结果
效果图

从上面可以看到 在
(1)表单的enctype="application/x-www-form-urlencoded"
(2)表单的method="post"

在上面的条件下,两者的数据完全一致,只是格式不同而已。

…..这里先省略,后面在做编辑补充 …..

小结

Coentent-Type仅在取值为application/x-www-data-urlencoded和multipart/form-data两种情况下,PHP才会将http请求数据包中相应的数据填入全局变量$_POST

PHP不能识别的Content-Type类型的时候,会将http请求包中相应的数据填入变量$HTTP_RAW_POST_DATA

只有Coentent-Type不为multipart/form-data的时候,PHP不会将http请求数据包中的相应数据填入php://input,否则其它情况都会。填入的长度,由Coentent-Length指定。

只有Content-Type为application/x-www-data-urlencoded时,php://input数据才跟$_POST数据相一致。

php://input数据总是跟$HTTP_RAW_POST_DATA相同,但是php://input比$HTTP_RAW_POST_DATA更凑效,且不需要特殊设置php.ini

PHP会将PATH字段的query_path部分,填入全局变量$_GET。通常情况下,GET方法提交的http请求,body为空。

高山丿流水
关注
专栏目录
file_get_contents("php://input")的使用方法
中国石油大学 INThe Du Jin Feng
07-04 2万+
$data = file_get_contents("php://input");     php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 alwa
thinkphp5调用shell脚本_thinkphp5.x全版本任意代码执行getshell
weixin_32308155的博客
12-23 521
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。主要是因为”\“的错误补丁:环境地址:漏洞利用1.远程命令执行exp:http://localhost:9096/inde...
记一次thinkphp的使用,file_get_contents抓取数据
xiaoxuesheng566的博客
01-30 692
起初是这个老哥再群里问这些数据怎么搞,让人帮忙用curl帮他抓取数据。说实话我也没干过这个,干的开发都是一键生成,现在干开发的成本太低了。我用了curl然后提示要伪造证书,然后也搞了。后面用最简单的这个方法。
$_POST = file_get_contents(“php://input“);是什么意思
最新发布
m0_64315223的博客
09-28 776
但是,如果请求体的内容不是标准的表单数据(比如 JSON 数据),就需要使用这种方式来读取请求体的内容,并将其存储在 `$_POST` 变量,以便后续的处理。3. 将 `file_get_contents("php://input")` 的结果赋值给 `$_POST` 变量,这样就可以在后续的代码使用 `$_POST` 来访问请求体的数据。1. `"php://input"` 是一个 PHP 的输入/输出流包装器,它允许我们直接访问原始的 HTTP 请求体数据。
phpfile_get_contents("php://input")
u011101738的博客
07-15 1476
php://input 可以读取没有处理过的POST数据。相较于$HTTP_RAW_POST_DATA而言,它给内存带来的压力较小,并且不需要特殊的php.ini设置。php://input不能用于enctype=multipart/form-data 客户端使用ajax技术的post方法向服务器发送的所有内容都可以在服务器的一个特殊文件php://input找到. file_g
phpfile_get_contents
Cray
10-25 452
这个利用了file_get_contents的特性,当用到php://input的时候,file_get_contents支持字节流输入,只要将a设为php://input,且post 你要的数据过去即可
php request漏洞利用,ThinkPHP 5.x RCE 漏洞分析与利用总结
weixin_39722921的博客
03-10 828
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.phpmethod方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。例如:1、大部分payload进入最后rce的函数是调用了call_user_func,其可控的也只有一...
ThinkPHP5源码学习篇--Request.php
dobat的博客
10-16 1157
Request类解析 request是请求相关的封装对象,比如原本我们想要获取get参数需要使用$_GET,post参数使用$_POST,字符串流数据通过file_get_contents(“php://input”)。而在实例化request对象时,这类参数都被组装到该对象的变量里。 类属性 名称 类型 真实含义 $instance object Request对象实例 $...
thinkphp5模拟post请求_Thinkphp5.1模拟登录并提交form表单
weixin_39688170的博客
12-21 787
最近项目需要,要远程登录别人的系统,并且在对方的系统提交表单,所以写了一个类。namespace app\api\controller;use think\Db;use think\Controller;use think\facade\Env;use think\facade\Request;class Offline extends Controller{//域名public $baseUr...
thinkphp python_python3编写ThinkPHP命令执行Getshell的方法
weixin_31885875的博客
12-23 241
加了三个验证漏洞以及四个getshell方法# /usr/bin/env python3# -*- coding: utf-8 -*-# @Author: Morker# @Email: [email]admin@nsf.me[/email]# @Blog: [url]http://nsf.me/[/url]import requestsimport sysdef demo():print(' ...
file_get_content一直返回false (thinkphp
乖乖康少
06-20 3303
问题描述: thinkphp框架的根目录下有一个文件  test.txt,file_get_content结果一直是false! 解决办法: 将该文件放在Public文件夹下,就可以了! 原因: thinkphp的其他文件夹是没有权限的,只有Public下才可以! 另外,如果是通过网址访问的话,记得家http
php://input 解析,解析file_get_contents('php:// input')的結果
weixin_33467546的博客
04-13 657
I'm using file_get_contents('php://input') to retrieve all the POST parameters/values from a particular web service, e.g.:我正在使用file_get_contents('php:// input')從特定的Web服務檢索所有POST參數/值,例如:$postText = fi...
PHP使用file_get_contents请求接口函数报错/出现乱码的解决办法
简单记录生活
01-29 2140
有时候用 file_get_contents() 函数抓取网页会发生乱码现象。有两个原因会导致乱码,一个是编码问题,一个是目标页面开了Gzip。 编码问题好办,把抓取到的内容转下编码即可(content=iconv(“GBK”,“UTF−8//IGNORE”,content)????。 或者发送UA,在使用file_get_contents函数前加上这一句: ini_set(‘user_agent’,‘Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .N
file_get_contents()
记录、分享技术总结,避坑经验等
08-25 469
定义和用法 file_get_contents() 函数把整个文件读入一个字符串。 和 file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。 file_get_contents() 函数是用于将文件的内容读入到一个字符串的首选方法。如果操作系统支持,还会使用内存映射技术来增强性能。 语法 file_get_contents(path,i...
PHP file_get_contents(‘php://input‘) 和 $_REQUEST 的区别?
xcdm100的博客
05-25 277
$_REQUEST包含$_POST和$_GET和$_COOKIE的所有数据,是根据键值对解析好的。而php://input是原始数据,是未解析的。 如果提交的是表单form,enctype是application/x-www-form-urlencoded或者multipart/form-data,那么表单的键值对就会被解析到上述三个超全局变量。而multipart/form-data编码提交的文件会被解析到$_FILES。 而如果你提交的数据不是上述表单编码,可能无法解析,就可以用php://inp
Thinkphp5.0input函数用法
weixin_45676431的博客
09-30 1187
1、input('get./s') : 强制转换为字符串类型 input('get./a') : 强制转换为数组类型 input('get./d') : 强制转换为整型类型 input('get./b') : 强制转换为布尔类型 input('get./f') : 强制转换为浮点类型 注意:ThinkPHP5.0版本默认的变量修饰符是/s,如果你要获取的数据为数组,请一定注意要加上/a修饰符才能正确获取到。 2、input('get...
TP5 file_get_contents下载微信录音amr文件
W915120623的博客
05-15 450
前端uni-app,录音保存在微信公众号 传给接口音频的media_id // 下载amr public function downAmr(){ $request = $this->request->post(); $url='http://file.api.weixin.qq.com/cgi-bin/media/get?access_token='.$request['token'].'&media_id='.$request['id'];
tp5 生成JSON文件file_put_contents()和读出数据file_get_contents
php菜鸟技术天地
09-15 5662
//// 生成一个PHP数组 $data = array(); $data[0] = array('1','吴者然','onestopweb.cn'); $data[1] = array('2','何开','iteye.com'); // 把PHP数组转成JSON字符串 //dump($data); $json_string = json_encode($da...
thinkphp5.1 http://172.98.6.101/api/gameintroduces/gameintroduces/games_list简短到http://172.98.6.101/api/gameintroduces/games_list的路由怎么写
05-11
thinkphp5.1,可以使用Route::rule()方法来设置路由规则。 如果你要将http://172.98.6.101/api/gameintroduces/gameintroduces/games_list简短到http://172.98.6.101/api/gameintroduces/games_list,可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值