相关 php.ini 配置
- allow_url_fopen :on 默认开启 该选项为on便是激活了 URL 形式的 fopen 封装协议使得可以访问 URL 对象文件等。
- allow_url_include:off 默认关闭,该选项为on便是允许 包含URL 对象文件等
php://stdin, php://stdout 和 php://stderr
php://stdin(只读)、php://stdout 和 php://stderr (只写) 允许直接访问 PHP 进程相应的输入或者输出流, 推荐使用常量 STDIN、 STDOUT 和 STDERR 来代替手工打开这些封装器。
应用一:
<?php while($line = fopen('php://stdin','r')){ echo fgets($line); } ?> // 结果 D:phpStudyWWW est>php test.php 12345你好 12345你好
应用二:在dos命令行下直接返回STDIN文件指针(文件句柄)
<?php echo STDIN; ?> // 结果 D:phpStudyWWW est>php test.php Resource id #1
应用三:
<?php echo fgets(STDIN); ?> //STDIN可以拿到在dos下输入的内容,fgets读取这个STDIN文件句柄,即可打印出刚才输入的内容 D:phpStudyWWW est>php test.php nnnn nnnn
php://input
php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_populate_raw_post_data 潜在需要更少的内存。 enctype="multipart/form-data" 的时候 php://input 是无效的。
Note: 在 PHP 5.6 之前 php://input 打开的数据流只能读取一次; 数据流不支持 seek 操作。 不过,依赖于 SAPI 的实现,请求体数据被保存的时候, 它可以打开另一个 php://input 数据流并重新读取。 通常情况下,这种情况只是针对 POST 请求,而不是其他请求方式,比如 PUT 或者 PROPFIND。5.6.0 以上支持php://input 可反复使用。
php://output
php://output 是一个只写的数据流, 允许你以 print 和 echo 一样的方式 写入到输出缓冲区。
php://fd
php://fd 允许直接访问指定的文件描述符。 例如 php://fd/3 引用了文件描述符 3。
php://memory 和 php://temp
php://memory 和 php://temp 是一个类似文件 包装器的数据流,允许读写临时数据。 两者的唯一区别是 php://memory总是把数据储存在内存中, 而 php://temp 会在内存量达到预定义的限制后(默认是 2MB)存入临时文件中。 临时文件位置的决定和 sys_get_temp_dir() 的方式一致。
php://temp 的内存限制可通过添加 /maxmemory:NN 来控制,NN 是以字节为单位、保留在内存的最大数据量,超过则使用临时文件。
<?php // Set the limit to 5 MB. 最大内存限制 $fiveMBs = 5 * 1024 * 1024; $fp = fopen("php://temp/maxmemory:$fiveMBs", 'r+'); fputs($fp, "hello "); // Read what we have written. rewind($fp); echo stream_get_contents($fp); ?>
php://memory 和 php://temp 是一次性的,比如:stream 流关闭后,就无法再次得到以前的内容了
file_put_contents('php://memory', 'PHP'); echo file_get_contents('php://memory'); // 啥也没有
php://filter
php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。
php://filter 参数
| 名称 | 描述 |
|---|---|
| resource=<要过滤的数据流> | 这个参数是必须的。它指定了你要筛选过滤的数据流。这个参数必须位于 php://filter 的末尾,并且指向需要过滤筛选的数据流。 |
| read=<读链的筛选列表> | 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。 |
| write=<写链的筛选列表> | 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。 |
| <;两个链的筛选列表> | 任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。 |
// php://filter/resource=<待过滤的数据流> readfile("php://filter/resource=http://www.example.com"); // php://filter/read=<读链需要应用的过滤器列表> /* 这会以大写字母输出 www.example.com 的全部内容 */ readfile("php://filter/read=string.toupper/resource=http://www.example.com"); /* 这会和以上所做的一样,但还会用 ROT13 加密。 */ readfile("php://filter/read=string.toupper|string.rot13/resource=http://www.example.com"); // php://filter/write=<写链需要应用的过滤器列表> file_put_contents("php://filter/write=string.rot13/resource=example.txt","Hello World");
封装协议摘要(针对 php://filter,参考被筛选的封装器)
| 属性 | 支持 |
|---|---|
| 受限于 allow_url_fopen | No |
| 受限于 allow_url_include | 仅 php://input、 php://stdin、 php://memory 和 php://temp。 |
| 允许读取 | 仅 php://stdin、 php://input、 php://fd、 php://memory 和 php://temp。 |
| 允许写入 | 仅 php://stdout、 php://stderr、 php://output、 php://fd、 php://memory 和php://temp。 |
| 允许追加 | 仅 php://stdout、 php://stderr、 php://output、 php://fd、 php://memory 和php://temp(等于写入) |
| 允许同时读写 | 仅 php://fd、 php://memory 和 php://temp。 |
| 支持 stat() | 仅 php://memory 和 php://temp。 |
| 支持 unlink() | No |
| 支持 rename() | No |
| 支持 mkdir() | No |
| 支持 rmdir() | No |
| 仅仅支持 stream_select() | php://stdin、 php://stdout、 php://stderr、 php://fd 和 php://temp。 |