파일 디렉토리에 액세스하는 확장 프로그램이 있습니다. 나는 Ajax 함수를 사용하여 컨트롤러에 대한 액세스가 필요한 경로를 보내고 컨트롤러에서 나는 $ _GET 원인을 사용한다. 그렇지 않으면 어떻게 동작하는지 알아 내지 못했다.
$image_file_path = $_GET["url_region"];
$d = dir($image_file_path) or die("File not found!");
물론 당신이 ../../ .. 같은 다른 요청을하면 다른 모든 디렉토리에 액세스 할 수 있습니다.
위생 처리 방법을 제안 해 주시겠습니까? 부디!
허용되는 경로가 무엇인지 매우 엄격하게 지정할 수 있으며 사용자 제공 값이 일치하는지 여부를 확인할 수는 있지만 잘못된 확인이 항상 발생하기 쉽습니다. 확장 프로그램에서 URL이 생성되었는지 간단히 확인하는 것이 더 쉽습니다. URL에 누군가가 추측 할 수있는 비밀 키가 있으며, 모든 매개 변수가 내선에서 진정으로 유효하다는 것을 확인할 수 있습니다. 그것은 ** cweiske **에 의해 제안 된'cHash' 메쏘드가 그의 대답에 대해 나의 +1을하는 것입니다. – tmt
@ 카스 캐발, 설명해 주셔서 감사합니다. 나는 그 옵션에 대해 연구 할 것이다. – Probandot