Let*_*eto 5 php regex security path filepath
我想测试用户给出的路径是否如下:
my/down/path
在相反的:
this/path/../../go/up
出于安全原因.
我已经做到了这个:
return (bool)preg_match('#^([a-z0-9_-])+(\/[a-z0-9_-])*$#i', $fieldValue);
但是应该允许用户'.'在他的路径中使用(例如:my/./path,这没用,但他可以),我不知道如何考虑它.
我正在寻找一个安全的正则表达式来检查这个.
谢谢
编辑:查看答案后,是的,如果测试检查真实路径(删除'.'和'..')是否为下行路径,那就没问题了.
您可以简单地检查用户提供的路径的真实路径是否以允许的路径开头:
function isBelowAllowedPath($allowedPath, $pathToCheck)
{
return strpos(
realpath($allowedPath . DIRECTORY_SEPARATOR . $pathToCheck),
realpath($allowedPath)
) === 0;
}
请注意,这也将返回false下面不存在的目录$allowedPath。
您可能不想检查路径是否不包含..,而是想检查如果作为整体求值,则它不会上升。即使它包含 ,但Eg./path/..仍然存在。...
您可以在 Twig 中找到路径深度验证的实现:
$parts = preg_split('#[\\\\/]+#', $name);
$level = 0;
foreach ($parts as $part) {
if ('..' === $part) {
--$level;
} elseif ('.' !== $part) {
++$level;
}
if ($level < 0) {
return false;
}
}
return true;
Twig 不用于realpath验证,因为realpathPhar 档案中的路径存在问题。此外,realpath仅当路径名已存在时才有效。