PHP가 documentroot 위의 문서를 여는 것을 막으십시오.

Question

누군가가이 문제에 관해 의견을 나눌 수 있기를 바랍니다.

내 PHP 스크립트는 현재 문서 루트 위의 파일을 require_once (../../ passowrds.php)와 같은 상대 경로를 사용하여 열 수 있습니다.

1) 어쨌든 문서 루트 위에 절대 경로를 열어두고 있습니까?

2) 문서 루트 위의 파일에 액세스하는 가장 안전한 방법은 무엇입니까? 사전에

감사

Answer 1

write에서 요구되는 파일에 대한 가장 안전한 방법 $ a = 'samplevalue'; 및 쓰기의 passowrds.php의 맨 위; if ($ a! = 'samplevalue') {header ('Location : http://www.example.com/'); }

passowrds.php :

if($r_key != 'a23b24c25samplekey' or empty($r_key)){ header('Location: http://www.example.com/'); exit(); } // r_key not equal a23b24c25samplekey or empty forward main page 
bla.. bla.. bla.. 

sample.php :

$r_key = 'a23b24c25samplekey'; 
    require_once(../../passowrds.php); 

그 상대 경로를 사용할 수있다;

$path = $_SERVER['DOCUMENT_ROOT']; 
    $path .= "/yourfolder/passowrwds.php"; 
    require_once($path); 

require_once (../../ passowrds.php); $ path = $ _SERVER [ 'DOCUMENT_ROOT']보다 안전합니다. $ path. = "/yourfolder/passowrwds.php"; require_once ($ path);

Answer 2

는 문서 루트 위의 열려있는 절대 경로를 시행 어쨌든 무엇입니까?

나는 이것을 "상대 경로로 위의 docroot-access를 방지 할 수 있습니까?"라고 해석합니다. 대답은 다음과 같습니다. 수동으로 경로 문자열의 유효성을 검사하지 않는 것 (과도한 ".."등을 찾습니다.)

문서 루트 위의 파일을 액세스하는 가장 안전한 방법은 무엇입니까?

"가장 안전하다"는 정의에 따라 다릅니다. 이것이 문제를 일으킬 수있는 시나리오는 무엇입니까?

그러나이 작업을 제어하는 ​​사용자 입력의 유효성을 검사하는 것이 좋을 것입니다. require_once($_GET["file"]).