学习记录 web php 伪协议

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

前言

学习记录

---

提示：以下是本篇文章正文内容，下面案例可供参考

一、什么是php伪协议

PHP 伪协议是一种利用 PHP 中一些特殊的包装器（wrapper）来访问各种输入 / 输出流的方式。这些包装器允许 PHP 以非传统的方式读取和写入数据，就好像它们是常规的文件一样。它们提供了一种灵活的机制来处理不同类型的数据源和目标。

二、常见的php伪协议

1.file:// 协议

功能：用于访问本地文件系统。这是最基本的一种伪协议，它的使用方式和在服务器上直接访问文件类似。例如，可以使用file_get_contents('file:///etc/passwd')来读取/etc/passwd文件（当然，这需要服务器有相应的权限）

代码如下（示例）：

<?php
       $webpageContent = file_get_contents('http://www.example.com');
       echo $webpageContent;
      ?>

这段代码会读取服务器上/var/www/html/index.php文件的内容并输出。‘’

2.php://input协议

功能：它可以读取原始的 POST 数据。这在处理没有通过传统的$_POST数组处理的数据时非常有用，例如，当数据以原始的文本格式发送而不是表单提交的方式时。

代码如下

<?php
         $postData = file_get_contents('php://input');
         echo $postData;
        ?>

3.php://filter协议

代码如下（示例）：

<?php
         $filteredData = file_get_contents('php://filter/read=string.toupper/resource=index.php');
         echo $filteredData;
        ?>

功能：这段代码会读取index.php文件的内容，并将所有字符转换为大写后输出。

4.zip:// 协议

功能：可以用来访问 ZIP 压缩文件中的内容。这使得在不先解压文件的情况下读取压缩文件内部的文件成为可能。

代码如下（示例）：

<?php
       $zipFile = 'archive.zip';
       $internalFile = 'file_inside_zip.txt';
       $content = file_get_contents("zip://{$zipFile}#{$internalFile}");
       echo $content;
      ?>

5.data:// 协议

• 功能：可以用于将数据嵌入到 URL 中。它允许直接在 URL 中指定数据的内容和类型，然后在 PHP 中进行处理。

代码如下（示例）：

<?php
       $data = 'Hello, World!';
       $encodedData = base64_encode($data);
       $content = file_get_contents("data:text/plain;base64,{$encodedData}");
       echo $content;
      ?>

1. 安全注意事项：
2. PHP 伪协议如果被不当使用，可能会导致安全漏洞。例如，php://input可能会被攻击者利用来注入恶意代码，如果没有对输入数据进行严格的过滤。file://协议可能会导致敏感文件泄露，如果权限设置不当。在开发过程中，需要谨慎地使用这些伪协议，并对用户输入和文件访问权限等进行严格的控制。

二

1. 安全注意事项
   • PHP 伪协议如果被不当使用，可能会导致安全漏洞。例如，php://input可能会被攻击者利用来注入恶意代码，如果没有对输入数据进行严格的过滤。file://协议可能会导致敏感文件泄露，如果权限设置不当。在开发过程中，需要谨慎地使用这些伪协议，并对用户输入和文件访问权限等进行严格的控制。”

伪协议在网址上的用法

filter范式