那些遇到过的问题

laravel的路由是否足以抵御文件遍历攻击?

Ale*_*lex 5 security laravel 

Route::get('/transaction/{name}', 'TransactionController@download');


public function download($name){
    $path = storage_path('app/something/') . $name . '.xml';
    return response()->download($path);
}
Run Code Online (Sandbox Code Playgroud)

用户只能使用此操作在app/something中下载.xml文件.

是否可以下载指定app/something文件夹之外的数据.

小智 1

据我所知 Laravel 会将你的路径编译为:

#^/transaction/(?P<name>[^/]++)$#s
Run Code Online (Sandbox Code Playgroud)

如此简单/不会不起作用..您可以使用更复杂的反斜杠 - 但这取决于服务器..

最后 - 记住不要相信所有用户输入.. 无论它是通过路由还是直接接收..

归档时间:

查看次数:

841 次

最近记录:

7 年,7 月 前
相关归档
Laravel Mix 未知选项“--hide-modules”错误 35
MSTEST PrincipalPermission 20
Laravel到SQL Server(sqlsrv).[PDOException]找不到驱动程序 15
使用Eloquent对数据进行排序 12
在雪豹中创建缓冲区溢出 9
HTTPS之外的"安全起源"? 6
Laravel 5.7检查电子邮件是否已经过验证 6
Laravel 5.5覆盖供应商类 5
使用多维数组过滤集合 4
仅允许从RFID阅读器C ++输入 2
难疑归档
如何克隆特定的Git分支? 2804
深度克隆对象 2135
什么是控制倒置? 1704
如何将元素移动到另一个元素? 1611
Java是否支持默认参数值? 1569
你什么时候使用git rebase而不是git merge? 1461
为什么我们需要C++中的虚函数? 1223
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
HTML中"role"属性的目的是什么? 1122
使用Twitter Bootstrap 3将列居中 1109