file_get_contents() 函數把整個文件讀入一個字符串中。
php://input 是個可以訪問請求的原始數據的只讀流。 POST 請求的情況下,最好使用 php://input 來代替 $HTTP_RAW_POST_DATA,因為它不依賴於特定的 php.ini 指令。 而且,這樣的情況下 $HTTP_RAW_POST_DATA 默認沒有填充, 比激活 always_populate_raw_post_data 潛在需要更少的內存。 enctype="multipart/form-data" 的時候 php://input 是無效的。
1.php://input 可以讀取http entity body中指定長度的值,由Content-Length指定長度,不管是POST方式或者GET方法提交過來的數據。但是,一般GET方法提交數據 時,http request entity body部分都為空。
2.php://input 與$HTTP_RAW_POST_DATA讀取的數據是一樣的,都只讀取Content-Type不為multipart/form-data的數據。
3,Coentent-Type僅在取值為application/x-www-data-urlencoded和multipart/form-data兩種情況下,PHP才會將http請求數據包中相應的數據填入全局變量$_POST
4,PHP不能識別的Content-Type類型的時候,會將http請求包中相應的數據填入變量$HTTP_RAW_POST_DATA
5. 只有Coentent-Type為multipart/form-data的時候,PHP不會將http請求數據包中的相應數據填入php://input,否則其它情況都會。填入的長度,由Coentent-Length指定。
6.只有Content-Type為application/x-www-data-urlencoded時,php://input數據才跟$_POST數據相一致。
7.php://input數據總是跟$HTTP_RAW_POST_DATA相同,但是php://input比$HTTP_RAW_POST_DATA更湊效,且不需要特殊設置php.ini
8.PHP會將PATH字段的query_path部分,填入全局變量$_GET。通常情況下,GET方法提交的http請求,body為空。
例子 1.php用file_get_contents("php://input")或者$HTTP_RAW_POST_DATA可以接收xml數據
1 <?php 2 $xmldata = file_get_contents("php://input"); 3 $data = (array)simplexml_load_string($xmldata); 4 ?>
這里的$data就是包含xml數據的數組,通過simplexml_load_string()解析xml數據
2.微信支付回調驗證
public function notify() { //獲取微信返回的數據結果 //php用file_get_contents("php://input")或者 $HTTP_RAW_POST_DATA可以接收xml數據 $postData = file_get_contents("php://input"); //將結果轉換成數組 $getData = $this->xmlstr_to_array($postData); }
//XXE漏洞需要在回調處理代碼里面解析XML之前,加入禁用實體解析的代碼 public function xmlstr_to_array($xmlstr)
{ libxml_disable_entity_loader(true);//關鍵代碼 //轉換形式良好的 XML 字符串為 SimpleXMLElement 對象,然后輸出對象的鍵和元素: $xmlstring = simplexml_load_string($xmlstr, 'SimpleXMLElement', LIBXML_NOCDATA); //第二個參數為true返回 array ,默認是false返回object $val = json_decode(json_encode($xmlstring),true); return $val; }