4
有沒有一種安全的方式從用戶獲取「路徑字符串」,在根目錄中生成 ,同時避免目錄遍歷? 某種「受保護的mkdir()」。是否有一個安全的「mkdir()」類似的函數?
可以說,根目錄是 - >「c:/ test」 避免用戶輸入 - >「c:/test/../windows/abc.exe」 非常感謝。
A
回答
1
據我所知,沒有。您需要解析所提供的路徑並自行清理(無論如何,即使在安全環境中操作,這也是一種很好的做法)。如果你在* nix下運行,我會建議使用chroot(或者等效的)來限制文件系統的訪問,不幸的是windows不支持(除了可以作爲託管的Windows 8應用程序的一部分)。
假設您要自己清理它,不要忘記,以及'..'符號,還有交匯點要考慮(很少使用的符號鏈接的ntfs實現)。
+0
更好的是,啓動一個OSS項目,收集這些「無辜」的圖書館功能並提供安全的功能。 –
相關問題
- 1. 是否有一個類似於opencv中的matlab bwboundaries的函數?
- 2. PHP是否有一個函數()[key]類似的語法?
- 3. mkdir函數,似乎沒有工作
- 4. Python 3的input()函數是否安全?
- 5. 是否有一個具有類似git特質的數據庫?
- 6. 安全模式..的mkdir
- 7. 將ConcurrentDictionary類型傳遞給一個需要IDictionary的函數是否安全?
- 8. 是否是setlocale線程安全函數?
- 9. 是否有一個標準的C++函數,類似於Address-of operator&?
- 10. 是否有類似於Python計數器功能的Javascript函數?
- 11. 刪除父類中的空函數是否安全?
- 12. 是否有類似於mysql的sqlsrv庫的函數mysql_real_escape_string?
- 13. mysql的SQL_CALC_FOUND_ROWS在postgresql中是否有類似的函數?
- 14. 是否有可能將這些相似的函數合併成一個函數?
- 15. 是否可以安全地從函數中返回一個TCHAR *
- 16. jQuery是否有一個類似於CSS3的目標僞類?
- 17. PHP函數error_log()是否安全使用?
- 18. 內部函數聲明是否安全?
- 19. 刪除history.back()函數是否安全?
- 20. 函數`arc4random`系列是否安全?
- 21. PL/SQL函數dbms_lock.sleep是否安全?
- 22. 是否有類似strip_tags()和trim()的UTF-8函數?
- 23. 在asp.net razor中是否有類似於Eval()的函數?
- 24. 在PHP 5.2中是否有類似於stristr()的函數?
- 25. Angular 2.0是否有類似於Angular 1中的`$ setPristine`函數?
- 26. 在linux中是否有類似於lsof命令的perl函數?
- 27. clojure中是否有類似「andmap」的函數?
- 28. 在JavaScript中是否有類似utf8-encode(php)的函數?
- 29. 是否有Int.isWholeNumber()函數或類似的東西?
- 30. 在scala中是否有類似Map.keySet的部分函數?
+1看到我們今天所有的安全問題,應該有一個。 –
你在這裏得到的問題是決定哪些文件夾沒有限制,'..'相對路徑在許多情況下是可以接受和安全的。對於管理員來說,這對於限制對系統文件夾的訪問(在Windows中也可以這樣做!)來說更是一個問題。我想這個問題是從Windows的早期版本開始的,用戶默認將用戶設置爲管理員。 – Skizz