У меня есть php-скрипт в папке (я называю его корневой папкой). Сценарий может в основном отображать все файлы в подпапках этой корневой папки. Пользователь может указать, какую вложенную папку следует отображать, используя параметры GET.
script.php?foo будет отображать содержимое
<root folder>/foo/
и script.php? .bar отобразит содержимое
<root folder>/.bar/
Тем не менее, пользователи могут также «обманывать» и использовать такие команды, как /.. для отображения содержимого папок, которые они не могли бы видеть.
Например, с
script.php?/../..
пользователи могут получить очень высокий уровень иерархии папок.
У вас есть идея, как запретить пользователям делать «читы», подобные этому.
Для простоты предположим, что параметр GET хранится в $searchStatement .