“PHP fopen”的意思、由来-中文百科全书

语法

fopen(filename,mode,include_path,context)

参数　描述

filename　规定要打开的文件或 URL。

mode　规定要求到该文件/流的访问类型。可能的值见下表。

include_path　如果也需要在 include_path 中检索文件的话，可以将该参数设为 1 或 TRUE。

context　规定文件句柄的环境。Context 是可以修改流的行为的一套选项。

mode 参数的可能的值

mode　说明

"r"　只读方式打开，将文件指针指向文件头。

"r+"　读写方式打开，将文件指针指向文件头。

"w"　写入方式打开，将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。

"w+"　读写方式打开，将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。

"a"　写入方式打开，将文件指针指向文件末尾。如果文件不存在则尝试创建之。

"a+"　读写方式打开，将文件指针指向文件末尾。如果文件不存在则尝试创建之。

"x"　创建并以写入方式打开，将文件指针指向文件头。如果文件已存在，则 fopen() 调用失败并返回 FALSE，并生成一条 E_WARNING 级别的错误信息。如果文件不存在则尝试创建之。
这和给底层的 open(2) 系统调用指定 O_EXCL|O_CREAT 标记是等价的。
此选项被 PHP 4.3.2 以及以后的版本所支持，仅能用于本地文件。

"x+"　创建并以读写方式打开，将文件指针指向文件头。如果文件已存在，则 fopen() 调用失败并返回 FALSE，并生成一条 E_WARNING 级别的错误信息。如果文件不存在则尝试创建之。
这和给底层的 open(2) 系统调用指定 O_EXCL|O_CREAT 标记是等价的。
此选项被 PHP 4.3.2 以及以后的版本所支持，仅能用于本地文件。

说明

fopen() 将 filename 指定的名字资源绑定到一个流上。如果 filename 是 "scheme://..." 的格式，则被当成一个 URL，PHP 将搜索协议处理器（也被称为封装协议）来处理此模式。如果该协议尚未注册封装协议，PHP 将发出一条消息来帮助检查脚本中潜在的问题并将 filename 当成一个普通的文件名继续执行下去。

如果 PHP 认为 filename 指定的是一个本地文件，将尝试在该文件上打开一个流。该文件必须是 PHP 可以访问的，因此需要确认文件访问权限允许该访问。如果激活了安全模式或者 open_basedir 则会应用进一步的限制。

如果 PHP 认为 filename 指定的是一个已注册的协议，而该协议被注册为一个网络 URL，PHP 将检查并确认 allow_url_fopen 已被激活。如果关闭了，PHP 将发出一个警告，而 fopen 的调用则失败。

对 context 的支持是 PHP 5.0.0 添加的。

提示和注释

注释：不同的操作系统家族具有不同的行结束习惯。当写入一个文本文件并想插入一个新行时，需要使用符合操作系统的行结束符号。基于 Unix 的系统使用 \ 作为行结束字符，基于 Windows 的系统使用 \\r\ 作为行结束字符，基于 Macintosh 的系统使用 \\r 作为行结束字符。如果写入文件时使用了错误的行结束符号，则其它应用程序打开这些文件时可能会表现得很怪异。

Windows 下提供了一个文本转换标记（"t"）可以透明地将 \ 转换为 \\r\。与此对应还可以使用 "b" 来强制使用二进制模式，这样就不会转换数据。要使用这些标记，要么用 "b" 或者用 "t" 作为 mode 参数的最后一个字符。

默认的转换模式依赖于 SAPI 和所使用的 PHP 版本，因此为了便于移植鼓励总是指定恰当的标记。如果是操作纯文本文件并在脚本中使用了 \ 作为行结束符，但还要期望这些文件可以被其它应用程序例如 Notepad 读取，则在 mode 中使用 "t"。在所有其它情况下使用 "b"。

在操作二进制文件时如果没有指定 "b" 标记，可能会碰到一些奇怪的问题，包括坏掉的图片文件以及关于 \\r\ 字符的奇怪问题。

注释：为移植性考虑，强烈建议在用 fopen() 打开文件时总是使用 "b" 标记。

注释：再一次，为移植性考虑，强烈建议你重写那些依赖于 "t" 模式的代码使其使用正确的行结束符并改成 "b" 模式。

<?php
$file = fopen("test.txt","r");
$file = fopen("/home/test/test.txt","r");
$file = fopen("/home/test/test.gif","wb");
$file = fopen("http://www.example.com/","r");
$file = fopen("ftp://user:password@example.com/test.txt","w");
?>PHP Filesystem 函数

PHP的fopen漏洞

PHP 的 fopen(), file() 及其它函数存在一个缺陷，即用户随意地添加额外HTTP报头信息到HTTP请求数据包中。攻击者可以利用此缺陷绕过服务器的安全限制，进行非法访问。在某些情况下，这个缺陷甚至可以打开任意的网络连接，在代理端执行PHP脚本和打开邮件转发。　PHP 有一些函数用文件名（如：fopen(), file()等）作为它们的参数。如果在php.ini中allow_url_fopen被设置为打开的，这些函数也允许以接受URL来替代接收文件，并且用正确的协议连接到服务器。那么这些函数将很容易遭到 CRLF Injection 攻击。

词条	PHP fopen
释义	fopen() 函数打开文件或者 URL。如果打开失败，本函数返回 FALSE。打开成功，本函数返回TRUE。语法 mode 参数的可能的值说明提示和注释例子 PHP的fopen漏洞语法 fopen(filename,mode,include_path,context) 参数　描述 filename　规定要打开的文件或 URL。 mode　规定要求到该文件/流的访问类型。可能的值见下表。 include_path　如果也需要在 include_path 中检索文件的话，可以将该参数设为 1 或 TRUE。 context　规定文件句柄的环境。Context 是可以修改流的行为的一套选项。 mode 参数的可能的值 mode　说明 "r"　只读方式打开，将文件指针指向文件头。 "r+"　读写方式打开，将文件指针指向文件头。 "w"　写入方式打开，将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。 "w+"　读写方式打开，将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。 "a"　写入方式打开，将文件指针指向文件末尾。如果文件不存在则尝试创建之。 "a+"　读写方式打开，将文件指针指向文件末尾。如果文件不存在则尝试创建之。 "x"　创建并以写入方式打开，将文件指针指向文件头。如果文件已存在，则 fopen() 调用失败并返回 FALSE，并生成一条 E_WARNING 级别的错误信息。如果文件不存在则尝试创建之。这和给底层的 open(2) 系统调用指定 O_EXCL\|O_CREAT 标记是等价的。此选项被 PHP 4.3.2 以及以后的版本所支持，仅能用于本地文件。 "x+"　创建并以读写方式打开，将文件指针指向文件头。如果文件已存在，则 fopen() 调用失败并返回 FALSE，并生成一条 E_WARNING 级别的错误信息。如果文件不存在则尝试创建之。这和给底层的 open(2) 系统调用指定 O_EXCL\|O_CREAT 标记是等价的。此选项被 PHP 4.3.2 以及以后的版本所支持，仅能用于本地文件。说明 fopen() 将 filename 指定的名字资源绑定到一个流上。如果 filename 是 "scheme://..." 的格式，则被当成一个 URL，PHP 将搜索协议处理器（也被称为封装协议）来处理此模式。如果该协议尚未注册封装协议，PHP 将发出一条消息来帮助检查脚本中潜在的问题并将 filename 当成一个普通的文件名继续执行下去。如果 PHP 认为 filename 指定的是一个本地文件，将尝试在该文件上打开一个流。该文件必须是 PHP 可以访问的，因此需要确认文件访问权限允许该访问。如果激活了安全模式或者 open_basedir 则会应用进一步的限制。如果 PHP 认为 filename 指定的是一个已注册的协议，而该协议被注册为一个网络 URL，PHP 将检查并确认 allow_url_fopen 已被激活。如果关闭了，PHP 将发出一个警告，而 fopen 的调用则失败。对 context 的支持是 PHP 5.0.0 添加的。提示和注释注释：不同的操作系统家族具有不同的行结束习惯。当写入一个文本文件并想插入一个新行时，需要使用符合操作系统的行结束符号。基于 Unix 的系统使用 \ 作为行结束字符，基于 Windows 的系统使用 \\r\ 作为行结束字符，基于 Macintosh 的系统使用 \\r 作为行结束字符。如果写入文件时使用了错误的行结束符号，则其它应用程序打开这些文件时可能会表现得很怪异。 Windows 下提供了一个文本转换标记（"t"）可以透明地将 \ 转换为 \\r\。与此对应还可以使用 "b" 来强制使用二进制模式，这样就不会转换数据。要使用这些标记，要么用 "b" 或者用 "t" 作为 mode 参数的最后一个字符。默认的转换模式依赖于 SAPI 和所使用的 PHP 版本，因此为了便于移植鼓励总是指定恰当的标记。如果是操作纯文本文件并在脚本中使用了 \ 作为行结束符，但还要期望这些文件可以被其它应用程序例如 Notepad 读取，则在 mode 中使用 "t"。在所有其它情况下使用 "b"。在操作二进制文件时如果没有指定 "b" 标记，可能会碰到一些奇怪的问题，包括坏掉的图片文件以及关于 \\r\ 字符的奇怪问题。注释：为移植性考虑，强烈建议在用 fopen() 打开文件时总是使用 "b" 标记。注释：再一次，为移植性考虑，强烈建议你重写那些依赖于 "t" 模式的代码使其使用正确的行结束符并改成 "b" 模式。例子 <?php $file = fopen("test.txt","r"); $file = fopen("/home/test/test.txt","r"); $file = fopen("/home/test/test.gif","wb"); $file = fopen("http://www.example.com/","r"); $file = fopen("ftp://user:password@example.com/test.txt","w"); ?>PHP Filesystem 函数 PHP的fopen漏洞 PHP 的 fopen(), file() 及其它函数存在一个缺陷，即用户随意地添加额外HTTP报头信息到HTTP请求数据包中。攻击者可以利用此缺陷绕过服务器的安全限制，进行非法访问。在某些情况下，这个缺陷甚至可以打开任意的网络连接，在代理端执行PHP脚本和打开邮件转发。　PHP 有一些函数用文件名（如：fopen(), file()等）作为它们的参数。如果在php.ini中allow_url_fopen被设置为打开的，这些函数也允许以接受URL来替代接收文件，并且用正确的协议连接到服务器。那么这些函数将很容易遭到 CRLF Injection 攻击。
随便看	凯文·贝里戈凯文·比蒂凯文·布兰克威尔凯文·布朗罗凯文·布勒森凯文·布鲁凯文·道尔凯文·德·布吕纳凯文·德布鲁因尼凯文·法哈尔多凯文·法斯特凯文·菲茨肯舍凯文·福兰德凯文·弗兰德凯文·戈登凯文·格登斯凯文·格罗斯克洛伊茨凯文·吉尔福伊尔凯文·加梅洛凯文·加西亚凯文·加西亚·马丁内斯凯文·卡林凯文·卡什曼凯文·康斯坦凯文·考利甘

语法

mode 参数的可能的值

说明

提示和注释

例子

PHP的fopen漏洞