nasıl yetkili dizin üzerindeki gitmekten kullanıcıyı engellemek için: Bir klasör içeriğini listeleme?

2 Cevap php

Kullanıcıların bu dosya oturuyor dizin değil, belirli bir dizin, göz atmak için izin bir senaryo üzerinde çalışıyor, ama bir değişken set ediyorum.

 define('FOLDER', '../_files/');

Şimdi, rendred html bu klasörün içinde alt gezinmenizi sağlar. Ben bir "dir" kullanımı değişken benim komut söylemek GET hangi alt klasörün görüntülemek için içeriği ve bir ".." bağlantısını aynı dir değişkeni kullanarak, yukarı doğru gitmek için izin.

Ben $ _GET ['dir'] FOLDER eşittir ise, bu ".." bağlantısını göstermek gerektiğini bir çek kurdum. Ama ben yapmak her yerde bu değişken benim komut yetkili klasörün üstünde göz atmanızı sağlar, bu url oturan ve karışıklık için yeterince kolay. Tam olarak güvenli bir durum ...

Yani ben talep edilen dizinin karşı yetkili dizinin tam yerel yolunu kontrol ve ikincisi yetkili birinin içinde değilse, ".." göstermek gerektiğini düşünüyorum.

Ama bunu yapmak için nasıl bilmiyorum. Herhangi bir ipucu veya işaretçi mutluluk duyacağız. Teşekkürler

2 Cevap

Sen realpath() bakmak isteyebilirsiniz.

$foo = realpath($foo);
if (substr($foo, 0, 8) != '/my/path') {
    return false;
}

... Ya da onun gibi bir şey.

Bence beri Copied from this answer, bu soru daha iyidir.

veya regex kullanabilirsiniz

$requested = realpath($foo);
$allowedpath = '/path/to/allowed';

$regex = '/^'.addslashes($allowedpath).'\/?.*$/';

if (!preg_match($regex, $requested)) {
    return false;
}

etiketler