阻止PHP中的目录遍历但允许路径

阻止PHP中的目录遍历但允许路径我有一条基本路径/任何/foo/和$_GET['path']应该是相对的。然而，我如何做到这一点(读取目录)，而不允许目录遍历？例如。/\.\.|\.\./不会正确过滤。

查看完整描述

3 回答

白衣非少年

TA贡献1155条经验获得超0个赞

ircmaxell的回答不完全正确。我在几个片段中看到了这个解决方案，但是它有一个与realpath()..这个realpath()函数移除尾随目录分隔符，因此设想两个连续目录，如：

/foo/bar/baz/

/foo/bar/baz_baz/

如realpath()将删除最后一个目录分隔符，如果$_GET['path']等于“./baz_baz”，因为它类似于

strpos("/foo/bar/baz_baz", "/foo/bar/baz")

也许：

$basepath = '/foo/bar/baz/';$realBase = realpath($basepath);$userpath = $basepath . $_GET['path'];$realUserPath = realpath($userpath);if ($realUserPath === false || strcmp($realUserPath, $realBase) !== 0 || strpos($realUserPath, $realBase . DIRECTORY_SEPARATOR) !== 0) {
    //Directory Traversal!} else {
    //Good path!}

反对回复 2019-08-03

智慧大石

TA贡献1946条经验获得超3个赞

仅仅检查./或类似的模式是不够的。以“./”为例，哪个URI编码为“%2e%2e%2f”。如果您的模式检查发生在解码之前，您将错过这一遍历尝试。黑客还可以做一些其他的技巧来绕过模式检查器，特别是在使用编码字符串时。

正如ircmaxwell所建议的那样，我通过使用realpath()之类的方法将任何路径字符串规范化到其绝对路径，从而成功地阻止了这些事件。只有到那时，我才开始通过将遍历攻击与我预定义的基本路径相匹配来检查遍历攻击。

反对回复 2019-08-03

热搜

最近搜索清空

阻止PHP中的目录遍历但允许路径

阻止PHP中的目录遍历但允许路径

3 回答

添加回答