PHPでユーザ定義のパスが安全であることを確認する

Question

PHPで簡単なディレクトリリストスクリプトを実装しています。

ディレクトリハンドルを開く前に、渡されたパスが安全であることを確認し、結果をwilly-nillyでechoしたいとします。

$f = $_GET["f"]; 
if(! $f) { 
    $f = "/"; 
} 
// make sure $f is safe 
$farr = explode("/",$f); 
$unsafe = false; 
foreach($farr as $farre) { 
    // protect against directory traversal 
    if(strpos($farre,"..") != false) { 
     $unsafe = true; 
     break; 
    } 
    if(end($farr) != $farre) { 
     // make sure no dots are present (except after the last slash in the file path) 
     if(strpos($farre,".") != false) { 
      $unsafe = true; 
      break; 
     } 
    } 
} 

ユーザーが送信パスが安全であることを確認するために、この十分ですか、私は攻撃から保護するために行う必要があり、他のものがありますか？

Answer 1

realpath()が役に立ちます。

realpath()すべてのシンボリックリンクに を拡大し、'/./'、 '/../'と 入力パスに余分な'/'文字への参照を解決し、 正規化された絶対パス名を返します。

ただし、この関数は、問題のパスが実際に存在することを前提としています。存在しないパスのためのキャノン化を実行しません。この場合、FALSEが返されます。