菜单开关

周梦康 发表于 2019-01-23 689 次浏览 标签 : 安全

假如我们需要替换 uri 参数中的../还有\

str_replace(["..", "/", "\\"], "", $url);
// 这个 ./. 就逃过了检测  正好变成了  ..

解决方案1

多次过滤

$block = str_replace("/", "", $block);
$block = str_replace("\\", "", $block);
$block = str_replace("..", "", $block); // 还得放最下面

解决方案2

只做白名单机制

function uriArgvFilter($argv){
    $len = strlen($argv);
    $res = "";
    for($i =0 ;$i<$len;$i++){
        $c = substr($argv,$i,1);
        if (($c >= 'a' && $c <= 'z') ||
            ($c >= '0' && $c <= '9') ||
            ($c >= 'A' && $c <= 'Z') ||
            $c == '_' || $c == '-' ||
            $c == '.'){
            $res .= $c;
        }
    }

    return $res;
}

评论列表