- PHP Чтение данных запроса
- Уязвимость данных запроса
- Обработка ошибок загрузки файлов
- Чтение данных POST
- Чтение данных GET
- Чтение исходных данных POST
- Загрузка файлов с помощью HTTP PUT
- Передача массивов POST
- PHP: Receive raw POST data.
- The php://input stream.
- Don’t use $HTTP_RAW_POST_DATA.
- PHP: Receive raw POST data.
- The php://input stream.
- Don’t use $HTTP_RAW_POST_DATA.
PHP
Чтение данных запроса
GET , лучше всего предоставлять данные, необходимые для отображения страницы, и их можно использовать несколько раз (поисковые запросы, фильтры данных . ). Они являются частью URL-адреса, что означает, что они могут быть добавлены в закладки и часто используются повторно.
Запросы POST, с другой стороны, предназначены для отправки данных на сервер только один раз (контактные формы, формы входа . ). В отличие от GET, который принимает только ASCII, запросы POST также позволяют бинарные данные, включая загрузку файлов .
Вы можете найти более подробное объяснение их различий здесь .
Уязвимость данных запроса
Получение данных из суперглобальных переменных $ _GET и $ _POST без какой-либо проверки считается плохой практикой и открывает методы для пользователей для потенциального доступа или компрометации данных с помощью инъекций кода и SQL . Неверные данные должны быть проверены и отклонены, чтобы предотвратить такие атаки.
Данные запроса должны быть экранированы в зависимости от того, как они используются в коде, как указано здесь и здесь . В этом ответе можно найти несколько различных функций эвакуации для общих случаев использования данных.
Обработка ошибок загрузки файлов
$_FILES[«FILE_NAME»][‘error’] (где «FILE_NAME» — это значение атрибута имени входного файла, представленного в вашей форме) может содержать одно из следующих значений:
- UPLOAD_ERR_OK — Нет ошибки, файл загружен с успехом.
- UPLOAD_ERR_INI_SIZE — Загруженный файл превышает директиву upload_max_filesize в php.ini .
- UPLOAD_ERR_PARTIAL — загруженный файл превышает директиву MAX_FILE_SIZE, указанную в HTML-форме.
- UPLOAD_ERR_NO_FILE — файл не загружен.
- UPLOAD_ERR_NO_TMP_DIR — Отсутствует временная папка. (Из PHP 5.0.3).
- UPLOAD_ERR_CANT_WRITE — Не удалось записать файл на диск. (Из PHP 5.1.0).
- UPLOAD_ERR_EXTENSION — расширение PHP остановило загрузку файла. (Из PHP 5.2.0).
Основным способом проверки ошибок является следующее:
Чтение данных POST
Данные из запроса POST хранятся в суперглобальном $_POST в форме ассоциативного массива.
Обратите внимание, что доступ к несуществующему элементу массива генерирует уведомление, поэтому существование всегда следует проверять с помощью функций isset() или empty() или оператора null coalesce.
$from = isset($_POST["name"]) ? $_POST["name"] : "NO NAME"; $message = isset($_POST["message"]) ? $_POST["message"] : "NO MESSAGE"; echo "Message from $from: $message"; $from = $_POST["name"] ?? "NO NAME"; $message = $_POST["message"] ?? "NO MESSAGE"; echo "Message from $from: $message"; Чтение данных GET
Данные из запроса GET хранятся в суперглобальном $_GET в форме ассоциативного массива.
Обратите внимание, что доступ к несуществующему элементу массива генерирует уведомление, поэтому существование всегда следует проверять с помощью функций isset() или empty() или оператора null coalesce.
Пример: (для URL /topics.php?author=alice&topic=php )
$author = isset($_GET["author"]) ? $_GET["author"] : "NO AUTHOR"; $topic = isset($_GET["topic"]) ? $_GET["topic"] : "NO TOPIC"; echo "Showing posts from $author about $topic"; $author = $_GET["author"] ?? "NO AUTHOR"; $topic = $_GET["topic"] ?? "NO TOPIC"; echo "Showing posts from $author about $topic"; Чтение исходных данных POST
Обычно данные, отправленные в запросе POST, представляют собой структурированные пары ключ / значение с типом MIME- application/x-www-form-urlencoded . Однако для многих приложений, таких как веб-сервисы, вместо них необходимо отправить необработанные данные, часто в формате XML или JSON. Эти данные могут быть прочитаны с использованием одного из двух методов.
php://input — это поток, который обеспечивает доступ к необработанному тексту запроса.
$rawdata = file_get_contents("php://input"); // Let's say we got JSON $decoded = json_decode($rawdata); $HTTP_RAW_POST_DATA — это глобальная переменная, содержащая необработанные данные POST. Он доступен только в том случае, если always_populate_raw_post_data директива always_populate_raw_post_data в php.ini .
$rawdata = $HTTP_RAW_POST_DATA; // Or maybe we get XML $decoded = simplexml_load_string($rawdata); Эта переменная устарела с PHP версии 5.6 и была удалена в PHP 7.0.
Обратите внимание, что ни один из этих методов не доступен, если для типа содержимого задано значение multipart/form-data , которое используется для загрузки файлов.
Загрузка файлов с помощью HTTP PUT
PHP обеспечивает поддержку метода HTTP PUT, используемого некоторыми клиентами для хранения файлов на сервере. Запросы PUT намного проще, чем загрузка файлов с использованием запросов POST, и они выглядят примерно так:
PUT /path/filename.html HTTP/1.1 В ваш PHP-код вы тогда сделаете что-то вроде этого:
Также здесь вы можете прочитать интересные вопросы и ответы о получении файла через HTTP PUT.
Передача массивов POST
Обычно элемент HTML-формы, представленный в PHP, приводит к одному значению. Например:
Это приводит к следующему результату:
Однако могут быть случаи, когда вы хотите передать массив значений. Это можно сделать, добавив PHP-подобный суффикс к имени HTML-элементов:
Это приводит к следующему результату:
Array ( [foo] => Array ( [0] => bar [1] => baz ) ) Вы также можете указать индексы массива в виде чисел или строк:
Что возвращает этот вывод:
Array ( [foo] => Array ( [42] => bar [foo] => baz ) ) Этот метод можно использовать, чтобы избежать циклов обработки после массива $_POST , делая ваш код более компактным и более кратким.
- Начало работы с PHP
- APCu
- BC Math (бинарный калькулятор)
- Imagick
- IMAP
- JSON
- Loops
- PDO
- PHP MySQLi
- php mysqli affected rows возвращает 0, когда он должен возвращать положительное целое число
- PHP Встроенный сервер
- PHPDoc
- PSR
- SimpleXML
- SQLite3
- Streams
- URL-адрес
- UTF-8,
- WebSockets
- XML
- YAML в PHP
- Автозагрузка грунтовки
- Альтернативный синтаксис для структур управления
- Анализ HTML
- Асинхронное программирование
- Аутентификация HTTP
- Безопасность
- Буферизация вывода
- Вклад в PHP Core
- Внедрение зависимости
- Внесение изменений в Руководство по PHP
- Волшебные константы
- Волшебные методы
- Вывод значения переменной
- Выполнение по массиву
- Генераторы
- закрытие
- Защитите Remeber Me
- Интерфейс командной строки (CLI)
- Использование cURL в PHP
- Использование MongoDB
- Использование Redis с PHP
- Использование SQLSRV
- Итерация массива
- Как определить IP-адрес клиента
- Как разбить URL-адрес
- Класс Datetime
- Классы и объекты
- Клиент SOAP
- Комментарии
- Компилировать расширения PHP
- Компиляция ошибок и предупреждений
- Константы
- Контрольные структуры
- криптография
- кэш
- локализация
- Манипулирование массивом
- Манипуляции заголовков
- Массивы
- Машинное обучение
- Менеджер зависимостей композитора
- Многопоточное расширение
- многопроцессорная обработка
- Монго-PHP
- Область переменных
- Обработка изображений с помощью GD
- Обработка исключений и отчетов об ошибках
- Обработка нескольких массивов вместе
- Обработка файлов
- Общие ошибки
- операторы
- отладка
- Отправка электронной почты
- отражение
- переменные
- Переменные Superglobal PHP
- Печенье
- Поддержка Unicode в PHP
- Пространства имен
- Работа с датами и временем
- Развертывание докеров
- Регулярные выражения (regexp / PCRE)
- Рекомендации
- Рецепты
- Розетки
- Сервер SOAP
- Сериализация
- Сериализация объектов
- сессии
- Соглашения о кодировании
- Создание PDF-файлов в PHP
- Спектакль
- Строковый анализ
- Структуры данных SPL
- Тестирование устройства
- Тип жонглирования и нерегулярные проблемы сравнения
- Тип подсказки
- Типы
- Установка в средах Linux / Unix
- Установка среды PHP в Windows
- Фильтры и функции фильтра
- Форматирование строк
- функции
- Функции хеширования пароля
- Функциональное программирование
- Черты
- Чтение данных запроса
- Шаблоны проектирования
PHP: Receive raw POST data.
This is a short guide on how to receive raw POST data in PHP. This is useful if you intend on receiving JSON or XML via a POST request.
In most day-to-day cases, we tend to access POST data like so:
//Retrieving a POST field in PHP $name = $_POST['name'];
However, in certain cases, you may need to access the POST request’s body as a whole. In those cases, you will need to access the php://input stream.
The php://input stream.
PHP has a number of I/O streams that you can access. In this case, we are particularly interested in the php://input stream.
Take a look at the following example:
//Get the raw POST data $postBody = file_get_contents("php://input"); In the code above, we used the file_get_contents function to read the php://input stream into a PHP variable called $postBody.
If a POST request is sent to the script above, the entire body of the request will be assigned to the $postBody variable.
For example: When I sent three POST parameters to the script in question, the php://input stream returned the following string:
Note that if no POST data is present, the code above will return a blank string.
Don’t use $HTTP_RAW_POST_DATA.
$HTTP_RAW_POST_DATA is a predefined PHP variable that can be configured to contain raw POST data. However, the variable was officially deprecated in PHP 5.6 and completely removed as of PHP 7.0.
Besides the fact that it is no longer supported, there is also the drawback of having to mess around with .ini directives in order to get it working. This is because the feature is turned off by default on most PHP installations.
The feature relies on the always_populate_raw_post_data directive being set to 1. However, the default value for this directive is 0 (off).
Long story short: You should use the input stream approach instead.
PHP: Receive raw POST data.
This is a short guide on how to receive raw POST data in PHP. This is useful if you intend on receiving JSON or XML via a POST request.
In most day-to-day cases, we tend to access POST data like so:
//Retrieving a POST field in PHP $name = $_POST['name'];
However, in certain cases, you may need to access the POST request’s body as a whole. In those cases, you will need to access the php://input stream.
The php://input stream.
PHP has a number of I/O streams that you can access. In this case, we are particularly interested in the php://input stream.
Take a look at the following example:
//Get the raw POST data $postBody = file_get_contents("php://input"); In the code above, we used the file_get_contents function to read the php://input stream into a PHP variable called $postBody.
If a POST request is sent to the script above, the entire body of the request will be assigned to the $postBody variable.
For example: When I sent three POST parameters to the script in question, the php://input stream returned the following string:
Note that if no POST data is present, the code above will return a blank string.
Don’t use $HTTP_RAW_POST_DATA.
$HTTP_RAW_POST_DATA is a predefined PHP variable that can be configured to contain raw POST data. However, the variable was officially deprecated in PHP 5.6 and completely removed as of PHP 7.0.
Besides the fact that it is no longer supported, there is also the drawback of having to mess around with .ini directives in order to get it working. This is because the feature is turned off by default on most PHP installations.
The feature relies on the always_populate_raw_post_data directive being set to 1. However, the default value for this directive is 0 (off).
Long story short: You should use the input stream approach instead.