0

URL変数を使用して動的なファイルアクセスから保護するための最良の方法は何ですか?XMLをロードするアクセスしたいファイル名を形成する2つのURL変数を連結しています。

$type = $_REQUEST['type']
//(ie. AB);
$timeframe = $_REQUEST['timeframe']
//(ie. 00.04);

//create XML document object model (DOM)
$main_doc = new DOMDocument();
$s = SITE_DIR."/data/file.".$type.".".$timeframe.".xml"; 
// example file.AB.00.04.xml)
// will be adding test to see if file exists
$main_doc->load($s);
4

1 に答える 1

2

パスが自分以外のディレクトリを指さないように、リクエスト文字列に「..」が含まれておらず、「/」(Windowsを使用している場合は「\」)も含まれていないことを確認する必要があります。参照。

おそらくこれを試してください:

$timeframe = str_replace(array('..','/','\'),array('','',''),$timeframe);
于 2012-06-06T17:31:43.343 に答える