老程序员博客

编程生涯的最后一舞

当前位置:首页 > 技术 > 正文内容

PHP中的文件系统操作与安全实践

访客 技术 2026年6月7日 1

目录浏览功能实现

在PHP中可通过内置函数遍历指定目录内容,类似操作系统中的 ls 命令。常用方法包括 opendir()scandir()

使用 readdir() 遍历目录:

<?php
$dir_handle = opendir('../');
while (($entry = readdir($dir_handle)) !== false) {
    echo htmlspecialchars($entry) . '<br>';
}
closedir($dir_handle);
?>

使用 scandir() 简化读取:

<?php
$entries = scandir('../');
foreach ($entries as $item) {
    echo htmlspecialchars($item) . '<br>';
}
?>

文件内容读取方式对比

PHP提供了多种读取文件内容的函数,适用于不同场景。

逐字符/行读取(低内存占用):

<?php
$file_handle = fopen('data.txt', 'r');
if ($file_handle) {
    while (($line = fgets($file_handle)) !== false) {
        echo htmlspecialchars($line) . '<br>';
    }
    fclose($file_handle);
}
?>

一次性读取全文(便捷高效):

<?php
$content = file_get_contents('data.txt');
echo htmlspecialchars($content);

// 或按行分割为数组
$lines = file('data.txt', FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES);
foreach ($lines as $line) {
    echo htmlspecialchars($line) . '<br>';
}
?>

文件下载实现

通过设置HTTP响应头可实现文件强制下载。

<?php
$target_file = './report.pdf';

if (file_exists($target_file)) {
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename="' . basename($target_file) . '"');
    header('Content-Length: ' . filesize($target_file));
    readfile($target_file);
    exit;
} else {
    http_response_code(404);
    echo '文件不存在';
}
?>

删除文件操作

使用 unlink() 可删除指定路径文件,需注意权限控制。

<?php
$to_delete = './temp.log';
if (unlink($to_delete)) {
    echo '文件已移除';
} else {
    echo '删除失败:权限不足或文件不存在';
}
?>

文件包含机制详解

PHP支持将外部文件内容插入当前脚本执行,提升代码复用性。

基本包含函数差异:

  • include():包含失败仅警告,继续执行
  • require():包含失败则中断程序
  • include_once() / require_once():避免重复包含

特殊行为:文本文件可执行代码

若被包含的 .txt 文件中包含 <?php ... ?> 代码,该代码将在运行时被执行。

// test.txt 内容示例:
// <?php echo 'Hello from text file!'; ?>
// <html><body><h1>Welcome</h1></body></html>

潜在安全风险警示

当文件操作函数接收用户输入参数时,极易引发以下漏洞:

  • 任意文件读取(如通过路径遍历)
  • 敏感文件泄露(如配置文件、日志)
  • 文件删除或覆盖攻击
  • 远程代码包含(RCE)

核心原则:
任何来自用户输入的路径参数都必须经过严格验证与过滤,禁止直接拼接至文件操作函数中。

标签: PHP文件操作
返回列表

上一篇:基于Spring Boot的老龄化人口信息管理平台设计与实现

下一篇:Elasticsearch 批量操作详解

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.