清理 PHP 中的文件路径

php security sanitization

2022-08-30 14:30:23

我希望使我的小程序安全，以便潜在的恶意用户无法查看服务器上的敏感文件。

    $path = "/home/gsmcms/public_html/central/app/webroot/{$_GET['file']}";


    if(file_exists($path)) {
        echo file_get_contents($path);
    } else {
        header('HTTP/1.1 404 Not Found');
    }

在我的头顶上，我知道诸如'...的输入。/../../../../../etc/passwd'会很麻烦，但想知道我应该期待哪些其他恶意输入以及如何防止它们。

答案 1

realpath（）将允许您将任何可能包含相关信息的路径转换为绝对路径...然后，您可以确保路径位于要允许从中下载的某个子目录下。

答案 2

使用 basename，而不是尝试预测用户可能提供的所有不安全路径。

推荐

php java encryption
相当于Java中PHP的crypt函数我正在将我的PHP代码迁移到Google App Engine - Java。因此，我需要一个相当于Java中PHP的crypt函数，因为我已将使用crypt的注册用户的所有密码存储在我的数据库中。编辑1：这是我用于加密密码的php�
php java c# .net
需要有关如何从接受语言请求标头获取首选语言的示例我需要一个代码示例或库来解析标头并返回我的首选语言。指出： “接受语言请求标头”字段类似于“接受”，但限制首选作为请求响应的自然语言集。语言标记在第 3.10 节中定义。 �
php java encryption aes
无法在 Java 和 PHP 之间交换使用 AES-256 加密的数据我的问题是：我在Java中加密的东西，我可以在Java中完全解密，但PHP不能解密。我用加密的内容可以使用解密，但不能在 Java 中解密。我想从Java应用程序发送和接收加密数据到PHP页面，所以我�
php javascript android java
直播主题对于那些有兴趣从您的设备到Web服务器的直播的人来说，这可能是一个非常有趣的话题。（主要安卓/Java）我终于找到了一种方法，如何将视频从设备的摄像头直播到我的网络服务器（网站）。�
php java quercus
Quercus是Java环境中PHP的可行替代品吗？对于任何偶然发现这个问题的人，他们不知道是什么 - 它是用Java完成的PHP的实现。对于我目前正在从事的项目，我们通过cgi在servlet上提供php页面（我知道它很笨拙，但这是支持遗留代码的要求