PHPにおけるディレクトリ・トラバーサル対策
ディレクトリトラバーサルとは,「../」のような文字列を使ってWebサーバーのディレクトリをあがり、
非公開ディレクトリにアクセスする手法です。
単純にstr_replace関数で「../」を「''」に置換するのは、対策として不十分です。
対策としては、「../」が見つかったら不正な文字としてエラーにするか、PHPであればbasename()関数を
使用するのが最も簡単だと思います。
非公開ディレクトリにアクセスする手法です。
単純にstr_replace関数で「../」を「''」に置換するのは、対策として不十分です。
対策としては、「../」が見つかったら不正な文字としてエラーにするか、PHPであればbasename()関数を
使用するのが最も簡単だと思います。
トラックバック(0)
このブログ記事を参照しているブログ一覧: PHPにおけるディレクトリ・トラバーサル対策
このブログ記事に対するトラックバックURL: http://blog.e-slas.com/weblog/mt-tb.cgi/39
