有没有办法安全地清理路径输入,而不使用realpath()?
目的是防止像../../../../../path/to/file这样的恶意输入
$handle = fopen($path . '/' . $filename, 'r');
解决方法:
不确定为什么你不想使用realpath,但路径名称sanitisation是一个非常简单的概念,沿着以下几行:
>如果路径是相对的(不以/开头),则在前面加上当前工作目录和/,使其成为绝对路径.
>将一个以上的序列替换为一个序列(a).
>用/替换所有出现的/./.
>删除/.如果在最后.
>用/替换/anything/../.
>删除/任何/ ..如果在最后.
在这种情况下,文本中的任何内容都表示不是/的最长字符序列.
请注意,这些规则应该持续应用,直到它们都不会导致更改为止.换句话说,做所有六个(一次通过).如果字符串改变了,那么回去再做六次(另一次通过).继续这样做,直到字符串与刚刚执行的传递之前相同.
完成这些步骤后,您将拥有可以检查有效模式的规范路径名称.最有可能的是那些不以../开头的东西(换句话说,它不会试图超越起点.可能还有其他规则想要应用,但这超出了这个问题的范围.
(a)如果你正在开发一个系统,将//在路径的开头处理为特殊的,请确保在开头用两个替换多个/字符.这是POSIX允许(但不强制要求)对倍数进行特殊处理的唯一地方,在所有其他情况下,多个/字符相当于一个.
标签:php,security,sanitization 来源: https://codeday.me/bug/20190715/1467500.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。