我有一个$filename应该被视为用户输入的变量。
我$filename在下面使用它:
header('Content-Disposition: inline; filename="' . $filename . '"');
$filename即使包含有效负载,如何对其进行编码以使其安全?
编辑:从到目前为止我能够找到的内容以及 OWASP 提供的内容来看,我可能只需要过滤所有换行符和换页符?寻找确认或其他信息。这些是唯一的要求,以下就足够了:
preg_replace('/[\f\r\n]/', '', $filename);
编辑:对于这个问题,假设已经执行了验证,但是有效负载已经通过了验证而没有被拒绝。