Kip*_*Kip 4 php security sanitization
我想确保通过查询字符串设置的文件路径不会超出所需的子目录.现在,我正在检查:
/" 开头,以防止用户给出绝对路径...",以防止用户提供所需子目录之外的路径.:",以防止使用URL(即" http://"," ftp://"等).我是否应该在Windows服务器上运行此脚本(不太可能),这也将阻止以驱动器说明符(即" C:\")开头的绝对路径.注意:我知道冒号是Unix文件名中的有效字符,但我永远不会在文件名中使用它.\" 开头.为了防止我改变主意在Windows服务器上运行,这可以防止指定Windows网络路径(即" \\someserver\someshare").同样,我知道反斜杠是一个有效的Unix文件名字符,但我也不会在任何文件名中使用它.这些检查是否足够?
背景
我有一个PHP脚本,它(通过查询字符串)获取要显示给用户的示例源文件的路径.所以我可能会给他们一个像" view_sample.php?path=accounting_app/report_view.php"或" view_sample.php?path=ajax_demo/get_info.js" 这样的链接.
脚本看起来基本上是这样的:
$path = $_GET['path'];
if(path_is_valid($path) && is_file("sample/$path"))
{
header('Content-Type: text/plain');
readfile("sample/$path");
}
我担心的是,恶意用户会看到该网址,并尝试执行类似" view_sample.php?path=../../database/connection_info.php"的操作,并获取对不在 "sample"目录中的文件的访问权限.
我在上面定义的四个检查(将在path_is_valid()功能中实现)是否足以锁定恶意用户?(另外,我认为支票1,3和4基本上是无关紧要的,因为我在前面设置相对路径,但是如果我不这样做,那么检查是否足够?)
sth*_*sth 10
呼叫
$path = realpath("sample/$path");
然后检查生成的路径是否以您期望的目录开头.
<?php
// Current path information
$path = $_GET['path'];
$vroot = "sample";
// Validate that the $path is a subfolder of $vroot
$vroot = realpath($vroot);
if(substr(realpath($path), 0, strlen($vroot)) != $vroot or !is_dir($path)) {lid!
exit("Invalid path");
} else {
echo "Ah, everything is alright!";
}
?>