많은 파일 전술을 선택하면
디렉토리가 생깁니다.
트래 버셜 보안 문제가 있습니까?많은 파일 전술에는 디렉토리 통과 보안 문제가 있습니까?
나는,
을 로그인 시스템을 작성해야하고 파일 전술의 많은
이 ID 파일을 많이하고 위해 scandir를 사용하는 것을 의미한다.
그래서 디렉토리가aaa.txt있을 것
bbb.txt (내용이 aaa_pass입니다) (내용입니다 bbb_pass) 때 사람이 입력
ccc.txt (내용이 ccc_pass가)
와 그의 id,
시스템 scandir 디렉토리
다음 id 파일을 찾으십시오.
하지만 헤이, 그가이
"../../important.txt"로 입력하면?
그는 ../../important.txt에 액세스 할 수 있습니까?
아 .... 내가 살균해야합니까? 그리고 그것은 파일 전술의 많은 measn 디렉토리 트래버 싱 보안 문제가 있습니까? –
사용자 입력에 basename()을 호출하면 다른 디렉토리의 파일을 읽을 수 없으므로 위생 정도가 반드시 필요합니다. 사용자 이름이 운영 체제의 파일 이름에 안전 한 문자의 하위 집합을 따르는 한 (알파 - 숫자는 아마도 안전한 내기가 될 것이며, 필요한 경우 밑줄을 포함 할 수도 있습니다), 실제로 필요한 모든 이름이어야합니다. 입력을 받고 basename()을 통해 전달한 다음 파일을 반복하여 일치하는 파일이 있는지 확인합니다. –