我正在研究一个脚本,允许用户浏览给定的目录,这不是该文件所在的目录,而是设置在一个变量中。列出文件夹内容:如何防止用户超出授权目录?
define('FOLDER', '../_files/');
现在,百页html允许浏览该文件夹内的子文件夹。我使用“dir”GET变量来告诉我的脚本要显示哪个子文件夹的内容,并使用相同的dir变量允许向上移动的“..”链接。
我设置了一个检查,如果$ _GET ['dir']等于文件夹,它不应该显示该“..”链接。但是,容易混淆位于url中的变量,无论我在哪里做,我的脚本允许浏览授权文件夹之上。不完全是安全的情况...
所以我想我应该检查授权目录的完整本地路径对所请求的目录,如果后者不在授权的内部,不显示“..” 。
但我不知道该怎么做。任何提示或指针,将不胜感激。谢谢
即使标题不送人,这基本上是因为http://stackoverflow.com/questions/1066930/sending-variables-同样的问题for-php-filesystem-functions-with-form-submission/ – deceze 2009-08-26 08:44:11
是的,类似的问题/解决方案。 – 2009-08-26 08:46:56