如果我選擇很多文件戰術,
那我就變成有目錄
遍歷安全問題了嗎?大量的文件策略有目錄遍歷安全問題?
我需要寫登錄系統,
和大量文件的戰術手段
使大量的ID文件,並使用 SCANDIR。
使該目錄將有
aaa.txt(內容是aaa_pass)
bbb.txt(內容是bbb_pass)
ccc.txt(內容是ccc_pass)
當有人進入他id,
系統掃描目錄,
然後找到id文件。
但是,嘿,如果他進入作爲
「../../important.txt」?
然後他可以訪問../../important.txt?
啊....我需要消毒嗎?它測量了很多文件策略有目錄遍歷安全問題? – 2009-06-11 15:45:38
調用用戶輸入的basename()將阻止他們從其他目錄讀取文件,因此絕對需要消毒程度。只要確保用戶名符合操作系統中文件名安全的字符子集(字母數字可能是安全的,可能包括下劃線,如果需要的話),這應該是您真正需要的。你只需要輸入,通過basename()傳遞,然後遍歷這些文件來查看是否存在匹配的文件。 – 2009-06-11 15:57:26