如何使用 PHP 安全地将 JSON 数据写入文件

2024-04-06

我有用于编辑图像的 HTML 表单。所有数据都存储在 JSON 中。当我更改当前图像时，我想通过 PHP 脚本将更改保存到文本文件中。如果我返回到上一个图像，该配置将再次从该文件发送到表单。

我的问题是：

如何安全地写入/读取此类数据。在哪里以及如何有效地检查数据以防止某些 JS/PHP 代码注入？

我在下面附上了一些概念代码：

JavaScript（使用 jQuery）：

// Writing
$.ajax({
    global: false,
    type: "POST",
    cache: false,
    dataType: "json",
    data: ({
        action: 'write',
        config: JavaScriptJSON_Obj
    }),
    url: 'read-write.php'
});

// Reading
$.ajax({
    global: false,
    type: "POST",
    cache: false,
    dataType: "json",
    data: ({
        action: 'read'
    }),
    url: 'read-write.php',
    success: function(data){
        JavaScriptJSON_Obj = data;
    }
});

PHP 示例（读写.php）：

switch ($_REQUEST['action']) {
    case 'write':
        file_put_contents('config.txt', $_REQUEST['config']);
        break;
    case 'read':
        $s = file_get_contents('config.txt');
        echo json_encode($s);
        break;
}

除了安全问题之外，您的代码的问题在于它无法工作。您必须序列化数据，或者将其编码为 json，然后再将其存储在文件中，即。像这样：

switch ($_REQUEST['action']) {
    case 'write':
        file_put_contents('config.txt', json_encode($_REQUEST['config']));
        break;
    case 'read':
        readfile('config.txt');
        break;
}

序列化的工作方式如下：

switch ($_REQUEST['action']) {
    case 'write':
        file_put_contents('config.txt', serialize($_REQUEST['config']));
        break;
    case 'read':
        $data = unserialize(file_get_contents('config.txt'));
        echo json_encode($data);
        break;
}

只要确保读/写的路径正确，这段代码就不存在代码注入问题。唯一的潜在问题是您是否可以选择要使用的文件（而不是将“config.txt”硬编码到代码中）。然后您必须进行验证以确保该文件位于给定目录等中。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

php

json

file

security

codeinjection

如何使用 PHP 安全地将 JSON 数据写入文件的相关文章

上传非常大的文件（>5GB）

我需要你的帮助我想用 HTML JQuery 和 PHP 创建一个上传脚本是否可以编写一个可以上传非常大的文件 gt 5 GB 的脚本我已经尝试使用 FileReader FormData 和 Blobs 但即使使用这些我也无法上传
I/O 问题没有找到类 org.json.JSONObject 的序列化器，也没有发现创建 BeanSerializer 的属性

不确定发生了什么完整的错误是 Problem with i o No serializer found for class org json JSONObject and no properties discovered to creat
使用 LIKE 和撇号的 Mysql 查询问题

所以我有一个有趣的问题我从未遇到过并且似乎找不到太多有关纠正该问题的信息我有一个庞大的数据库里面有大量的数据相当于 10 年的数据并试图对其进行搜索现在搜索功能运行良好但最近有人让我注意到一个错误如果你愿意的话我尝试对
如何检测CSRF漏洞[关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案给定一个网站如何检测潜在的 CSRF 漏洞提前致谢这是一个CSRF https www owasp org index php
PDO dblib 未捕获警告

我已经使用 realestateconz mssql bundle 和免费 TDS 成功使我的 symfony 应用程序连接到 MSSQL 数据库我的问题是当我尝试执行存储过程时如果出现问题该过程会引发异常但 PDO 不会报告任何
用 C 更快地读取文件

嗯我想知道是否有一种比使用 fscanf 更快地读取文件的方法例如假设我有这个文本 4 55 k 52 o 24 l 523 i 首先我想读取第一个数字它给出了接下来的行数令这个数称为N N 之后我想读取 N 行其中有一个整数
Amazon Web Services：设置 S3 策略以允许 putObject 和 getObject 但拒绝 listBucket

我在 Amazon S3 上使用 getObject 和 putObject 请求并在创建访问存储桶的策略时发现如果我不允许 listBucket 则会收到访问被拒绝错误这样做的问题是 listBucket 意味着用户可以列出存储
Laravel 6：尚未设置外观根

经过一段时间的努力我已将我的网站从 Laravel 5 8 迁移到 Laravel 6作曲家更新我在网站上遇到此错误并且仅使用命令PHP工匠 PHP Fatal error Uncaught RuntimeException A fac
fsockopen() 和 SSL 出错，“无法启用加密”

我正在尝试连接到 Nominet EPP 测试台但收到无法启用加密的消息这似乎是一个罕见的错误没有记录的解决方案或原因用行 socket fsockopen ssl testbed epp nominet org uk 700
需要一个正则表达式将 css 类添加到第一个和最后一个列表项

更新谢谢大家的意见一些附加信息它实际上只是我正在使用的一小部分标记 20 行目的是利用正则表达式来完成工作我还能够修改脚本电子商务脚本以在构建导航时插入类我想限制我所采用的黑客数量以便在更新到软件的最新版本时让事情变得更容
PHP mail() 函数发送电子邮件，但需要 10 多分钟才能显示

因此我的用户从手机上的 Android 应用程序进行注册注册成功后我会触发一封邮件发送到注册的电子邮件地址其中包含来自我的 PHP 脚本的激活密码这是我使用的代码行非常简单 mail to subject message hea
从字符串中删除第一个和最后一个字符

我有这个 dataList one two three list explode dataList echo pre print r list echo pre 其输出 gt Array gt 0 gt gt 1 gt one gt 2 g
重定向到另一个文件夹

我读了这个 htaccess 重写以将根 URL 重定向到子目录 https stackoverflow com questions 990392 htacces rewrite to redirect root url to subdir
正则表达式：如何表达没有下划线的 \w

有没有简洁的表达方式 w but without 即 w 中包含的所有字符除了我问这个是因为我正在寻找最简洁的方式来表达域名验证域名可以包含小写和大写字母数字句号和破折号但不能包含下划线 w 包括以上所有内容加上下划线那么
在 Woocommerce 的单个产品页面上显示特定的自定义产品属性

我找到了以下代码 https isabelcastillo com woocommerce product attributes functions在产品详细信息页面上显示所有自定义属性具有我需要的特定条形设计代码的工作方式就像一个魅力
如何从 php 中的 .doc 文件获取页面数，以下代码适用于 .docx 而不是 .doc

此代码工作 docx 格式文档但我需要 doc 格式文档计数 php 中的页数 function CountPagesDocx filename zip new ZipArchive if zip gt open filename tru
将 JSON 数组转换为 bash 数组并保留空格

我想将 JSON 文件转换为 bash 字符串数组稍后我可以对其进行迭代我的JSON结构如下 USERID TMCCP CREATED DATE 31 01 2020 17 52 USERID TMCCP CREATED DATE 31
无法下载 Windows 版 Composer SSL：握手超时

这是我尝试安装 Windows 版 Composer 时得到的结果 The https getcomposer org versions https getcomposer org versions 无法下载文件 SSL 握手超时无法启用
TCPDF - 来自 mysql 的打印表显示重复的第一行

我是 TCPDF 的新手我面临的小问题是所有输出数据都显示同一行我的意思是第一条记录重复数据库中存在的总数据行的次数这是我的代码 tbl header
多个数据库连接

我有三张桌子 categories content info and content The categories表包含类别的id及其 IDparent类别 The content info包含两列 entry id帖子的 ID 和cat

随机推荐

Python 中的私有方法

我想在我的类中有一个函数我将仅在此类的方法内部使用该函数我不会在这些方法的实现之外调用它在 C 中我将使用在类的私有部分中声明的方法在Python中实现这样的功能的最佳方法是什么我正在考虑在这种情况下使用静态装饰器我可以使用没
如何使用 Apache POI 在 Word 文档中插入图像？

我有这个代码 public class ImageAttachmentInDocument param args throws IOException throws InvalidFormatException public static
eclipse插件编程时出现“Workbench尚未创建”错误

随着我的 eclipse 插件启动我得到了Root exception java lang IllegalStateException Workbench has not been created yet error 而且它似乎会导致产生
PHP/Symfony2 表单复选框字段

Orm My SampleBundle Entity Subject type entity id id type integer generator strategy AUTO fields motion type smallint un
理解含义的算法[关闭]

很难说出这里问的是什么这个问题是含糊的模糊的不完整的过于宽泛的或修辞性的无法以目前的形式得到合理的回答如需帮助澄清此问题以便重新打开访问帮助中心 help reopen questions 我想知道是否有任何特定的算法可以遵循
Vue：选择下拉菜单在更改值时清除其他输入

我有一个带有输入值的表单当我选择带有 v model 的选项并更改下拉值时之前字段的输入将被清除我制作了一个简单的代码笔来演示这一点一段时间以来这一直是我的痛点但现在它开始干扰客户体验所以我想看看为什么会发生这种情况 http
带通配符的 FTP 目录部分列表

首先我问 ftp 目录列表超时大量子目录 https stackoverflow com questions 9230485 ftp directory listing timeout huge number of subdirs 我得到
在 JFrame 中组织多个 JPanel 的好方法是什么？

我想做的是在框架内组织五个独立的 JPanel 输出应如下所示顶部将有一个面板顶部面板正下方的两个面板垂直分割空间然后另外两个面板水平分割剩余空间我无法弄清楚如何组织如上所述的面板我认为这是因为我不知道正确的语法因此非常感谢任
引用在嵌套结构中的生存时间不够长

我正在创建一系列数据结构其中包含对较低级别结构的可变引用我一直很愉快地与A B and C下面但我尝试添加一个新层D A B C D实际上是用于协议解码的状态机的状态但我在这里删除了所有这些 struct A fn init A gt
Go 模块在 VSCode 中导入问题（“无法在任何 [...] 中找到包 [...]”）

我遇到了可能是 Gopls 语言服务器问题在 VSCode 中使用带有 Go 扩展的 Go 模块时我的所有外部包导入语句都被标记为不正确这正是我到目前为止所做的在我的 GOPATH src github com Kozie1337
sbt：选择运行的主类

我的应用程序中有大约 6 个主要类但我通常只使用其中一个所以我想通过 sbt 自动运行它 sbt 使得可以在 build sbt 中定义两个键 Run Key val selectMainClass TaskKey Option Str
无法检索访问令牌 linkedin api

我正在申请connect with linkedin 我正在关注分步指南 https code google com p simple linkedinphp wiki QuickStart 为了验证用户身份我寻求了帮助this http
如何绘制具有不同 colspan 的四个子图？

我尝试使用四张图像来拟合matplotlib pyplot像下面这样 plot1 plot2 plot3 plot4 我发现的大多数例子都涵盖了如下三个图 ax1 plt subplot 221 ax2 plt subplot 222 ax
当我将 targetSDK 设置为 API 30 后，我的 Android 应用程序无法正常工作；我如何找出原因？

根据Google https developer android com distribute best practices develop target sdk 从 2021 年 8 月开始所有新的 Google Play 应用程序除了
Gatsby 未生成正确的静态 HTML 文件

我正在开发一个基于盖茨比的网站到目前为止该网站的开发进展顺利但在构建生产时遇到了一个问题即我们在各个页面索引文件中没有获得任何静态 html 相反 Gatsby 似乎将尝试从 javascript 注入页面这与我们的预期相反我看到
Pandas.read_excel 读取 xlsx 文件集时出现 KeyError

我使用 Anaconda shell 进行数据分析上传到pandas一堆excel文件 25个文件在此文件上https www dropbox com s 16ea1cw6k63i16p Newdata zip dl 0 https w
添加两个具有不同回调的谷歌地图[重复]

这个问题在这里已经有答案了我的页面上有两个谷歌地图容器第一个 id map 只是一个普通的显示地图第二个 id map2 是一个搜索地图用户在其中键入输入地图将刷新到用户键入的位置这些地图使用相同的 api 密钥但它们的回调
Request.pipe() JPEG 流

我正在开发一个作为 ZoneMinder 中间件的 Nodejs 应用程序简而言之我的目标是屏蔽所有 ZoneMinder api 以便客户端不知道我是否使用 ZM 一切都很好但有一件事让我烦恼 ZM 中有一个流 api 它提供流 J
PyGame：文本未出现

我正在遵循教程我试图让我的文本出现在屏幕上这是我的代码但文本不会出现 from future import division import math import sys import pygame class MyGame obje
如何使用 PHP 安全地将 JSON 数据写入文件

我有用于编辑图像的 HTML 表单所有数据都存储在 JSON 中当我更改当前图像时我想通过 PHP 脚本将更改保存到文本文件中如果我返回到上一个图像该配置将再次从该文件发送到表单我的问题是如何安全地写入读取此类数据在哪里以

如何使用 PHP 安全地将 JSON 数据写入文件

如何使用 PHP 安全地将 JSON 数据写入文件 的相关文章

随机推荐

热门标签

如何使用 PHP 安全地将 JSON 数据写入文件的相关文章