Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年3月21日
最終更新日:2013年12月26日

ディレクトリ・トラバーサル対策(PHP編)

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。

この一部を PHP で実現すると以下のようになります。

根本的対策

■ファイルを開く場合は、固定ディレクトリ+ファイル名にする
basename 関数を利用してファイル名を取得後、ディレクトリと結合してパスを作成します。

実行結果は以下のようになります。

保険的対策

■ファイル名のチェックを行う
正規表現で、パスに含まれる「/」、「../」、「..\」をチェックします。

実行結果は以下のようになります。


スポンサーリンク




カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA