如何在允許相對路徑的同時防止 PHP 中的目錄遍歷攻擊？

在 PHP 中允許路徑的同時防止目錄遍歷

使用相對路徑時，防止可能危及敏感系統資訊的目錄遍歷攻擊至關重要。

考慮這樣一種情況，您有一個基本路徑“/whatever/foo/”，並且需要允許使用相對路徑$_GET['path'] 變數。但是，惡意行為者可能會嘗試透過注入路徑遍歷序列（如“..”或“./”）來存取受限制的目錄來利用此機制。

要在允許相對路徑的同時有效防止目錄遍歷，您可以利用以下技術：

此方法利用realpath() 函數來確定基本路徑和用戶提供的路徑的絕對物理路徑。透過比較這些絕對路徑，可以驗證使用者路徑沒有遍歷指定的基本路徑之外。如果確實如此，realpath() 將傳回 false 或不正確的路徑，從而觸發對目錄遍歷嘗試的偵測。

以上是如何在允許相對路徑的同時防止 PHP 中的目錄遍歷攻擊？的詳細內容。更多資訊請關注PHP中文網其他相關文章！