1

画像を操作 (サイズ変更) する CMS 用のプラグインを作成しています。特定のディレクトリのみが正常であることを確認するにはどうすればよいですか?

ユーザーがスクリプトで検索するディレクトリを定義できるようにしたい (そしてすべての画像を見つけたい)。

$_POST['sub_directory_to_look_in']andを要求して、 が含まれていないglob('galleries/' . $_POST['sub_directory_to_look_in'] . '/*.jpg');ことを確認できることはわかっていますが、これを行うとセキュリティ上の問題はありますか?$_POST['sub_directory_to_look_in']'../'

機能を調べましたbasedirが、それが役立つかどうかはわかりません

4

1 に答える 1

1

安全のために、宛先ディレクトリに関連付けられた一意の識別キー (ユーザー ID のソルトハッシュなど) を使用して、ユーザーとそのコンテンツ間のマッピングを行います。

このように、クエリ パラメーターにはインフラストラクチャに関する情報は含まれず、転送されるデータに関する情報のみが含まれます (データが配置される場所ではなく、相対的に配置されるべき場所など)。

PS :システム ユーザーhttp://www.php.net/manual/en/function.realpath.phprealpathが参照できる場合、指定された有効なパスのシンボリック リンクを解決するために 使用できます。

この質問は、PHP のサニタイズ ファイル パスに関連している可能性があります

于 2013-04-23T06:22:16.877 に答える