DedeBIZ
/
DedeV6
Наблюдаван 2
Харесван 0
Разклонения 0
Код Заявки за сливане 0 Версии 30 Activity
国内流行的内容管理系统(CMS)多端全媒体解决方案 https://www.dedebiz.com
457 Ревизии
3 Клонове
63MB
ИН на ревизия: 2997f1ed6b
DedeV6/system/request.class.php

229 lines
6.2KB
Директен файл Blame История 

  1. <?php

  2. /**

  3.  * 处理外部请求变量的类

  4.  *

  5.  * 禁止此文件以外的文件出现 $_POST、$_GET、$_FILES变量及eval函数(用request::myeval )

  6.  * 以便于对主要黑客攻击进行防范

  7.  *

  8.  * @version        $Id: request.class.php 1 12:03 2010-10-28 tianya $

  9.  * @package        DedeBIZ.Libraries

  10.  * @copyright      Copyright (c) 2022, DedeBIZ.COM

  11.  * @license        https://www.dedebiz.com/license

  12.  * @link           https://www.dedebiz.com

  13.  */

  14. //REQUEST常量,用于判断是否启用REQUEST类

  15. define('DEDEREQUEST', TRUE);

  16. 

  17. //简化 cls_request::item() 函数

  18. function Request($key, $df = '')

  19. {

  20.     $GLOBALS['request'] = isset($GLOBALS['request']) ? $GLOBALS['request'] : new Request;

  21.     if (!$GLOBALS['request']->isinit) {

  22.         $GLOBALS['request']->Init();

  23.     }

  24.     return $GLOBALS['request']->Item($key, $df);

  25. }

  26. class Request

  27. {

  28. 

  29.     var $isinit = false;

  30.     //用户的cookie

  31.     var $cookies = array();

  32. 

  33.     //把GET、POST的变量合并一块,相当于 _REQUEST

  34.     var $forms = array();

  35. 

  36.     //_GET 变量

  37.     var $gets = array();

  38. 

  39.     //_POST 变量

  40.     var $posts = array();

  41. 

  42.     //用户的请求模式 GET 或 POST

  43.     var $request_type = 'GET';

  44. 

  45.     //文件变量

  46.     var $files = array();

  47. 

  48.     //严禁保存的文件名

  49.     var $filter_filename = '/\.(php|pl|sh|js)$/i';

  50. 

  51.     /**

  52.      * 初始化用户请求

  53.      * 对于 post、get 的数据,会转到 selfforms 数组, 并删除原来数组

  54.      * 对于 cookie 的数据,会转到 cookies 数组,但不删除原来数组

  55.      */

  56.     function Init()

  57.     {

  58.         global $_POST, $_GET;

  59.         //处理post、get

  60.         $formarr = array('p' => $_POST, 'g' => $_GET);

  61.         foreach ($formarr as $_k => $_r) {

  62.             if (count($_r) > 0) {

  63.                 foreach ($_r as $k => $v) {

  64.                     if (preg_match('/^cfg_(.*?)/i', $k)) {

  65.                         continue;

  66.                     }

  67.                     $this->forms[$k] = $v;

  68.                     if ($_k == 'p') {

  69.                         $this->posts[$k] = $v;

  70.                     } else {

  71.                         $this->gets[$k] = $v;

  72.                     }

  73.                 }

  74.             }

  75.         }

  76.         unset($_POST);

  77.         unset($_GET);

  78.         unset($_REQUEST);

  79. 

  80.         //处理cookie

  81.         if (count($_COOKIE) > 0) {

  82.             foreach ($_COOKIE as $k => $v) {

  83.                 if (preg_match('/^config/i', $k)) {

  84.                     continue;

  85.                 }

  86.                 $this->cookies[$k] = $v;

  87.             }

  88.         }

  89.         //unset($_POST, $_GET);

  90. 

  91.         //上传的文件处理

  92.         if (isset($_FILES) && count($_FILES) > 0) {

  93.             $this->FilterFiles($_FILES);

  94.         }

  95.         $this->isinit = TRUE;

  96. 

  97.         //global变量

  98.         //self::$forms['_global'] = $GLOBALS;

  99.     }

  100. 

  101.     /**

  102.      * 把 eval 重命名为 myeval

  103.      */

  104.     function MyEval($phpcode)

  105.     {

  106.         return eval($phpcode);

  107.     }

  108. 

  109.     /**

  110.      * 获得指定表单值

  111.      */

  112.     function Item($formname, $defaultvalue = '')

  113.     {

  114.         return isset($this->forms[$formname]) ? $this->forms[$formname] :  $defaultvalue;

  115.     }

  116. 

  117.     /**

  118.      * 获得指定临时文件名值

  119.      */

  120.     function Upfile($formname, $defaultvalue = '')

  121.     {

  122.         return isset($this->files[$formname]['tmp_name']) ? $this->files[$formname]['tmp_name'] :  $defaultvalue;

  123.     }

  124. 

  125.     /**

  126.      * 过滤文件相关

  127.      */

  128.     function FilterFiles(&$files)

  129.     {

  130.         foreach ($files as $k => $v) {

  131.             $this->files[$k] = $v;

  132.         }

  133.         unset($_FILES);

  134.     }

  135. 

  136.     /**

  137.      * 移动上传的文件

  138.      */

  139.     function MoveUploadFile($formname, $filename, $filetype = '')

  140.     {

  141.         if ($this->IsUploadFile($formname)) {

  142.             if (preg_match($this->filter_filename, $filename)) {

  143.                 return FALSE;

  144.             } else {

  145.                 return move_uploaded_file($this->files[$formname]['tmp_name'], $filename);

  146.             }

  147.         }

  148.     }

  149. 

  150.     /**

  151.      * 获得文件的扩展名

  152.      */

  153.     function GetShortname($formname)

  154.     {

  155.         $filetype = strtolower(isset($this->files[$formname]['type']) ? $this->files[$formname]['type'] : '');

  156.         $shortname = '';

  157.         switch ($filetype) {

  158.             case 'image/jpeg':

  159.                 $shortname = 'jpg';

  160.                 break;

  161.             case 'image/pjpeg':

  162.                 $shortname = 'jpg';

  163.                 break;

  164.             case 'image/gif':

  165.                 $shortname = 'gif';

  166.                 break;

  167.             case 'image/png':

  168.                 $shortname = 'png';

  169.                 break;

  170.             case 'image/xpng':

  171.                 $shortname = 'png';

  172.                 break;

  173.             case 'image/wbmp':

  174.                 $shortname = 'bmp';

  175.                 break;

  176.             default:

  177.                 $filename = isset($this->files[$formname]['name']) ? $this->files[$formname]['name'] : '';

  178.                 if (preg_match("/\./", $filename)) {

  179.                     $fs = explode('.', $filename);

  180.                     $shortname = strtolower($fs[count($fs) - 1]);

  181.                 }

  182.                 break;

  183.         }

  184.         return $shortname;

  185.     }

  186. 

  187.     /**

  188.      * 获得指定文件表单的文件详细信息

  189.      */

  190.     function GetFileInfo($formname, $item = '')

  191.     {

  192.         if (!isset($this->files[$formname]['tmp_name'])) {

  193.             return FALSE;

  194.         } else {

  195.             if ($item == '') {

  196.                 return $this->files[$formname];

  197.             } else {

  198.                 return (isset($this->files[$formname][$item]) ? $this->files[$formname][$item] : '');

  199.             }

  200.         }

  201.     }

  202. 

  203.     /**

  204.      * 判断是否存在上传的文件

  205.      */

  206.     function IsUploadFile($formname)

  207.     {

  208.         if (!isset($this->files[$formname]['tmp_name'])) {

  209.             return FALSE;

  210.         } else {

  211.             return is_uploaded_file($this->files[$formname]['tmp_name']);

  212.         }

  213.     }

  214. 

  215.     /**

  216.      * 检查文件后缀是否为指定值

  217.      *

  218.      * @param  string  $subfix

  219.      * @return boolean

  220.      */

  221.     function CheckSubfix($formname, $subfix = 'csv')

  222.     {

  223.         if ($this->GetShortname($formname) != $subfix) {

  224.             return FALSE;

  225.         }

  226.         return TRUE;

  227.     }

  228. }