我希望确保我的小程序的安全,以便潜在的恶意用户无法查看服务器上的敏感文件。
$path = "/home/gsmcms/public_html/central/app/webroot/{$_GET['file']}";
if(file_exists($path)) {
echo file_get_contents($path);
} else {
header('HTTP/1.1 404 Not Found');
}
我突然意识到,诸如“../../../../../../etc/passwd”之类的输入会很麻烦,但想知道我应该期待哪些其他恶意输入以及如何处理来阻止他们。
真实路径() https://www.php.net/manual/en/function.realpath.php可以让您将任何可能包含相对信息的路径转换为绝对路径...然后您可以确保该路径位于您想要允许下载的某个子目录下。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)