Безопасное хранение содержимого файлов из подпапки

Question

Пользователь может отправить подпапку/имя файла для загрузки.

Вложенная папка/имя файла будет , а затем использована для обслуживания файла из предварительно установленной папки.

В конце концов, я делаю new File(folder, "subfolder/filename").

Но прежде чем сделать это, я также проверить, что !"subfolder/filename".contains("..")

Но достаточно ли этого? Возможно ли сценарий, когда две точки (..) могут не совпадать друг с другом, но все же должны интерпретироваться как две точки при передаче в новый файл (...)?

Есть ли другой способ, по которому пользователь может перемещаться назад и достигать содержимого вне этой папки?

Вам нужно сделать что-то еще, чтобы обеспечить доступ к такой подпапке/имени файла из папки?

Answer 1

Вы можете выполнить что-то вроде

cd ./\.\. 

В Unix это изменится каталог для родителей. Может быть, вы можете разрешить файл и проверить, находится ли он под правильным родителем?

UPD: выглядит как java. Вы не можете использовать \. \. pattern http://goo.gl/4Rszg5 все еще это не значит, что проверка на ".." достаточно. Лучше проверить канонический путь

Answer 2

Можно получить абсолютные пути из ОС, поэтому немного медленнее.

String folderPath = folder.getCanonicalPath() + File.separator; 
File file = new File(folder, "subfolder/filename"); 
String path = file.getCanonicalPath(); 

if (!path.startsWith(folderPath)) { 
    log(Level.ERROR, "Security breach attempt: ..."); 
    return; 
} 

Простая проверка, вероятно, сделать слишком:

Pattern BREACH = Pattern.compile("\\.[\\\\]*\\."); 
if (BREACH.matcher(path).find()) { ... } 

виду, когда вы используете управление версиями или другие «защищенные» файлы/папки, а затем имена файлов или папок, начиная с точки, являются незаконными слишком ,