题目链接：[BJDCTF2020]ZJCTF，不过如此。打开环境，如下所示。一个简单的伪协议，直接使用Data伪协议即可通过检测，随后使用文件包含来查看next.php文件源码。Payload：?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource

打开题目就是源码看到使用file_get_contents()函数打开text，看到file就想到了文件包含，但是本题使用file://协议并不行，里边有个封装的text文件，需要使用data://协议php5.2.0起，数据流封装器开始有效，主要用于数据流的读取，如果传入的数据是PHP代码就会执行代码。使用方法为：data:

2018年7月，大三暑假进行时，时间过得飞快，我到这边实习都已经一个月了。我在没工作之前，我老是觉得生产项目的代码跟我平时自学练的会有很大的区别。以为生产项目代码啥的都会规范很多，比如在接口上会做很多安全性的工作（自学练的时候确实学到的类似的案例），代码设计上会有很多设计模式的应

2018年7月，大三暑假进行时，时间过得飞快，我到这边实习都已经一个月了。我在没工作之前，我老是觉得生产项目的代码跟我平时自学练的会有很大的区别。以为生产项目代码啥的都会规范很多，比如在接口上会做很多安全性的工作（自学练的时候确实学到的类似的案例），代码设计上会有很多设计模式的