那些遇到过的问题

PHP:防止文件夹黑客攻击 - 如果路径中有../?

mat*_*att 7 php path

我在php中做了一个简单的事情,我想知道如何测试变量$ path是否包含以下结构../

所以我在我的网址中只有一个?path = somepath结构,如果有人进入../它允许他进入一个目录.我当然知道这不是最好的解决方案,但是对于我的小东西来说,如果我只是在其中测试一个"../"字符串的$ path变量就足够了.如果是这样死();

我不确定测试它的最佳方法是什么!

关于亚光

Dan*_*erg 12

你可以直接调用realpath()它并检查它应该存在的路径是否是它的前缀,而不是这样做.

更好的是,为什么不保留白名单并拒绝任何不在其中的东西?

oez*_*ezi 2

回答你的问题:

if(strpos($path,'../') !== false){
  // looks like someone 's trying to hack here - simply
  // do nothing (or send an email-notification to yourself
  // to be informed and see how often this happens)
}else{
  // here comes the magic

}
Run Code Online (Sandbox Code Playgroud)

但是:你真的不应该这样做。如果您想要一个简单的解决方案,请对每个可能的 $path 使用 switch 语句并包含相关文件(或您必须执行的任何操作)。

归档时间:

查看次数:

2185 次

最近记录:

11 年,7 月 前
相关归档
在twig模板中显示包含HTML的字符串 151
什么是Python什么'爆炸'是为PHP? 102
为什么我在Eloquent模型中调用方法时会得到'非静态方法不应该被静态调用'? 66
MySQL服务器已经消失 - 正好在60秒内完成 62
Mac上的默认终端$ PATH在哪里? 44
使用PHP替换文本文件中的字符串 32
什么是Perl相当于PHP的print_r()? 26
array_walk是一个匿名函数 24
DOMPDF的自定义字体 23
Delphi TPath.GetTempPath结果被裁剪 9
难疑归档
什么是"大O"符号的简单英语解释? 4851
如何在JavaScript中获取当前日期? 2152
如何检查字符串"StartsWith"是否是另一个字符串? 1660
如何将分离的HEAD与master/origin协调? 1506
如何迭代Bash中变量定义的一系列数字? 1409
Git push需要用户名和密码 1327
如何找出哪个DOM元素具有焦点? 1234
从JS数组中删除重复值 1225
如何使用INER JOIN与SQL Server删除? 1181
为什么使用Redux而不是Facebook Flux? 1126