1

现在我想知道是否只需要require($path).

个最简单的例子
我有一些表单域foldername. 因此,当我这样做require($somepath.'/'.$folder.'/'.$name.'.php')时,可以通过输入“../../admin/or/else/things/”轻松重新定位。

这是一个简单的例子,但有(我希望如此)许多其他方式来重新定位$path

所以问题是:
- 提供传入路径的检查?
- 如果是的话..那么如何正确地做到这一点?

4

2 回答 2

2

如果您想根据用户输入要求另一个文件,您应该非常仔细地验证文件夹和名称字段。您不希望用户需要他们自己的文件(可能是他们刚刚上传的文件)或任何其他讨厌的东西。

理想情况下,您应该创建一个可接受值的列表,如下所示:

$allowedIncludes = array('a/foo.php', 'b/bar.php'); // etc

然后您可以检查他们提供的名称和文件夹字段的组合是否有效:

if(false !== array_search("$folder/$name", $allowedIncludes) {
  // OK
  // require ...;
} else {
  // not ok
}

但同样,在允许用户执行此类操作时要非常小心。不想让人们在您的机器上执行任意代码。

于 2012-09-13T12:21:19.847 回答
1

这是我的方式:

/* Valid Pages' Array */
$pages['welcome']['title'] = 'Welcome!';                // Page Title
$pages['welcome']['path'] = './pages/welcome.php';      // Physical Valid Path
$pages['welcome']['login'] = false;                     // Log-in Required?

$pages['my-account']['title'] = 'My Account';
$pages['my-account']['path'] = './user/my_account.php';
$pages['my-account']['login'] = true;

/* Requested Page */
$page = !empty($_REQUEST['page']) ? $_REQUEST['page'] : 'welcome';

/* Including ... */
if (file_exists($pages[$page]['path']))
    include($pages[$page]['path']);
else
    include($pages['404']['path']);
于 2012-09-13T12:35:15.373 回答