J'ai un répertoire et un nom de fichier dynamique. Y at-il des fonctions que je peux utiliser pour m'assurer qu'il est impossible de sortir du répertoire spécifié?Comment créer un chemin de fichier correctement en utilisant php?
par exemple:
secure_path('/tmp/', 'file.txt') -> /tmp/file.txt
secure_path('/tmp/', '../file.txt') -> /tmp/file.txt
Si vous ne travailler que dans le seul répertoire et non les sous-répertoires ci-dessous vous pouvez faire
$file = "/tmp/".basename($input);
qui devrait vous donner le nom du fichier à la fin de tout chemin donné en entrée, et l'ajouter au répertoire que vous vouliez.
Je ne sais pas vraiment comment ../file.txt est censé se transformer en /tmp/file.txt dans votre exemple, mais de vérifier si un chemin est un sous-chemin d'un autre, utilisez realpath avec une simple comparaison :
$path = '../foo';
$allowedPath = '/tmp/';
$path = realpath($path);
if (substr($path, 0, strlen($allowedPath)) !== $allowedPath) {
// path is not within allowed path!
}
Utilisez realpath() pour obtenir une forme canonique du chemin, et éliminer toute ../ -s. Vérifiez ensuite qu'il contient le chemin d'accès complet du répertoire dans lequel vous souhaitez le contenir.
Tels que:
$path = "/tmp/file.txt";
$directory = "{full path of your files directory}";
if (strpos(realpath($path), $directory) === 0) {
// path OK
}
else {
// path not ok
}