3

我有一个函数可以通过 jQuery 检查文件是否存在,该函数调用 PHP 脚本,在单击索引页面上的按钮更改某些图像时,我将使用该脚本。

jQuery函数:

function fileExists(path){
    $.getJSON("/ajax/fileExists.php",{ path: path },
    function (data){
        return data.path;
    });
}

文件存在.php:

$path=$_SERVER['DOCUMENT_ROOT'].'/packs'.$_GET['path'];

if(file_exists($path)){
    echo json_encode(TRUE);
}else{
    echo json_encode(FALSE);
}

我担心人们使用此脚本列出我可能不希望他们知道的服务器或文件的内容,因此我使用 DOCUMENT_ROOT 和 /packs 来尝试限制对该目录的调用,但我认为人们可以简单地在提供的路径中使用 ../ 来检查替代方案。

确保安全的最佳方法是什么,最好将其限制在 /packs 中,还有其他我应该担心的问题吗?

编辑:javascript/jQuery 中的示例调用:

if( fileExists('/index.php') ){
    alert('Exists');
}else{
    alert('Doesn\'t exist');
}
4

2 回答 2

3

这就是我过去的处理方式:

$path = realpath($_SERVER['DOCUMENT_ROOT'].'/packs'.$_GET['path']);
if (strpos($path, $_SERVER['DOCUMENT_ROOT']) !== 0) {
    //It's looking to a path that is outside the document root
}
于 2012-09-29T19:16:29.090 回答
2

您可以从文件名中删除任何路径转换:

$path_arr = explode("/", $_GET['path']);
$path = $path_arr[count($path_arr - 1)];

这种做法是适度安全和快速的(O(1) 复杂度),但并不是最好的,因为您必须注意编码、字符替换和所有类似的东西。

但总体最佳实践(尽管速度较慢取决于您的目录大小,比方说 O(n) 复杂度)是使用 readdir() 获取 /packs 目录中所有文件的列表,然后查看提供的文件名是否为当下:

$handle = opendir($path=$_SERVER['DOCUMENT_ROOT'].'/packs');
while (false !== ($entry = readdir($handle))) {
  if ($entry === $_GET['path']) {
    echo json_encode(TRUE);
    return;
  }
}
echo json_encode(FALSE);
于 2012-09-29T19:19:46.053 回答