在没有realpath()的PHP中清理文件路径
作者:互联网
有没有办法安全地清理路径输入,而不使用realpath()?
目的是防止像../../../../../path/to/file这样的恶意输入
$handle = fopen($path . '/' . $filename, 'r');
解决方法:
不确定为什么你不想使用realpath,但路径名称sanitisation是一个非常简单的概念,沿着以下几行:
>如果路径是相对的(不以/开头),则在前面加上当前工作目录和/,使其成为绝对路径.
>将一个以上的序列替换为一个序列(a).
>用/替换所有出现的/./.
>删除/.如果在最后.
>用/替换/anything/../.
>删除/任何/ ..如果在最后.
在这种情况下,文本中的任何内容都表示不是/的最长字符序列.
请注意,这些规则应该持续应用,直到它们都不会导致更改为止.换句话说,做所有六个(一次通过).如果字符串改变了,那么回去再做六次(另一次通过).继续这样做,直到字符串与刚刚执行的传递之前相同.
完成这些步骤后,您将拥有可以检查有效模式的规范路径名称.最有可能的是那些不以../开头的东西(换句话说,它不会试图超越起点.可能还有其他规则想要应用,但这超出了这个问题的范围.
(a)如果你正在开发一个系统,将//在路径的开头处理为特殊的,请确保在开头用两个替换多个/字符.这是POSIX允许(但不强制要求)对倍数进行特殊处理的唯一地方,在所有其他情况下,多个/字符相当于一个.
标签:php,security,sanitization 来源: https://codeday.me/bug/20190715/1467500.html