PHP escape user input для имени файла

Question

У меня есть форма, в которой пользователи могут загружать файлы, и я хотел бы назвать файл чем-то по строкам [id]_[lastname]_[firstname].pdf. Имя вводится пользователем, и я боюсь, что они вводят что-то с косой чертой. В противном случае что-то вроде $path = $dir.$filename может привести к $path = 'uploads/2_smith_john/hahaimajerk.pdf', если первое имя - john/hahaimajerk.

Я действительно не хочу принуждать пользователей ограничивать свои имена чем-либо; Я не возражаю изменить их имена немного в имени файла, пока я могу указать исходное имя. Какие персонажи мне нужно бежать, или есть ли другой способ сделать это? Или ... я просто использую mysql_real_escape_string?

Answer 1

mysql_real_escape_string не избежать косой черты. Даже escapeshellarg этого не сделает. Вам необходимо будет использовать str_replace:

$path = str_replace('/', '_', $path); 

Answer 2

Единственный «небезопасный» символ в имени файла является / - так что вы можете легко избежать проблем с помощью str_replace("/","",$filename)

Answer 3

Обычно я использую регулярные выражения для этого. Вместо того, чтобы удалять определенные символы (например, косые черты, точки и т. Д.), Я предпочитаю допускать определенные символы (например, буквенно-цифровые).

Например, это заменит любой символ, который не является буквой, числом, тире или подчеркивание подчеркивания:

$escaped = preg_replace('/[^A-Za-z0-9_\-]/', '_', $raw); 

обратного косой перед тиром, чтобы избежать тира в регулярном выражении, так как в противном случае тир используется для указания диапазонов символов (например, AZ).

Answer 4

escapeshellcmd тоже может помочь.

http://php.net/manual/en/function.escapeshellcmd.php

echo escapeshellcmd("\/()_") -> will display \\/\(\)_