现在我想知道是否只需要require($path).
举个最简单的例子:
我有一些表单域folder和name. 因此,当我这样做require($somepath.'/'.$folder.'/'.$name.'.php')时,可以通过输入“../../admin/or/else/things/”轻松重新定位。
这是一个简单的例子,但有(我希望如此)许多其他方式来重新定位$path。
所以问题是:
- 提供传入路径的检查?
- 如果是的话..那么如何正确地做到这一点?
问问题
103 次
2 回答
2
如果您想根据用户输入要求另一个文件,您应该非常仔细地验证文件夹和名称字段。您不希望用户需要他们自己的文件(可能是他们刚刚上传的文件)或任何其他讨厌的东西。
理想情况下,您应该创建一个可接受值的列表,如下所示:
$allowedIncludes = array('a/foo.php', 'b/bar.php'); // etc
然后您可以检查他们提供的名称和文件夹字段的组合是否有效:
if(false !== array_search("$folder/$name", $allowedIncludes) {
// OK
// require ...;
} else {
// not ok
}
但同样,在允许用户执行此类操作时要非常小心。您不想让人们在您的机器上执行任意代码。
于 2012-09-13T12:21:19.847 回答
1
这是我的方式:
/* Valid Pages' Array */
$pages['welcome']['title'] = 'Welcome!'; // Page Title
$pages['welcome']['path'] = './pages/welcome.php'; // Physical Valid Path
$pages['welcome']['login'] = false; // Log-in Required?
$pages['my-account']['title'] = 'My Account';
$pages['my-account']['path'] = './user/my_account.php';
$pages['my-account']['login'] = true;
/* Requested Page */
$page = !empty($_REQUEST['page']) ? $_REQUEST['page'] : 'welcome';
/* Including ... */
if (file_exists($pages[$page]['path']))
include($pages[$page]['path']);
else
include($pages['404']['path']);
于 2012-09-13T12:35:15.373 回答