ディレクトリトラバーサルとは,「../」のような文字列を使ってWebサーバーのディレクトリをあがり、
非公開ディレクトリにアクセスする手法です。
単純にstr_replace関数で「../」を「''」に置換するのは、対策として不十分です。
対策としては、「../」が見つかったら不正な文字としてエラーにするか、PHPであればbasename()関数を
使用するのが最も簡単だと思います。
非公開ディレクトリにアクセスする手法です。
単純にstr_replace関数で「../」を「''」に置換するのは、対策として不十分です。
対策としては、「../」が見つかったら不正な文字としてエラーにするか、PHPであればbasename()関数を
使用するのが最も簡単だと思います。
