Ведомый этой должности Preventing Directory Traversal in PHP but allowing paths я пытаюсь предотвратить обхода каталогов, но я испытываю что-то странное, в первую очередь Realpath возвращает хороший путьPHP Realpath() возвращает пустую строку
$fPath = $path.$parent.'/'.$name;
//$name (the user input) in this sample is "fff", $parent is an empty string
//make sure user didn't try to traverse backwards on the basepath
$basepath = $path;
$realBase = realpath($basepath);
echo $realBase."<br/>";
//gives: /Users/me/Documents/www/gallery/php_sample/uploadedImages
$userpath = $fPath;
echo $userpath."<br/>";
//gives: /Users/me/Documents/www/gallery/php_sample/uploadedImages/fff
$realUserPath = realpath($userpath);
echo $realUserPath."<br/>";
//gives blank (an empty string).
Любые идеи о Зачем?
realpath() возвращает FALSE при сбое, например. ** если файл не существует. ** – AbraCadaver
Но ... тогда я, должно быть, неправильно понял, как я должен его использовать. Все дело в том, чтобы убедиться, что пользователь помещает папку, которую он пытается создать в разрешенном месте, а не перемещается вверх в структуре каталогов. Вы говорите, что я должен сначала создать DIR в незанятом месте, прежде чем я смогу сравнить пути, чтобы увидеть, разрешено ли это? –
Это работает только в том случае, если каталог существует. Чтобы проверить/дезинформировать предоставленный пользователем каталог, вам понадобятся некоторые правила, очистите его или отклоните. – AbraCadaver