Ich benötige ein Skript, mit dem man einen Ordner unterhalb einer bestimmten Verzeichnisstruktur (collections) auswählt.
Dabei entsteht eine Sicherheitsfrage. Das Verzeichnis wählt man über Links aus. Dabei wird die Ordner-Adresse relativ zu "collections" per GET übergeben.
Wie kann ich aber dabei sichergehen, dass sich da niemand unterhalb von collections scrollt, zb. per oder ?
--Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (§ 28 Absatz 3 und 4 Bundesdatenschutzgesetz).
Du könntest zum Beispiel direkt nach ".." als Verzeichnis suchen (die entsprechende RegExp sollte nicht allzu schwer sein) oder die Pfadangabe erst durch realpath() schicken und dann auf "/path/to/collections" als Pfadanfang prüfen.Zitat von Bluescreen
--A human is a system for converting dust billions of years ago into dust billions of years from now via a roundabout process which involves checking email a lot.
Ich würde ersteres empfehlen. Das hat den Vorteil, dass es auch dann funktioniert, wenn das Script mal irgendwo anders auf der Festplatte liegt. Allerdings solltest du dann auch noch überprüfen, dass der Pfad nicht mit "/" anfängt.
--
/Fyx: Bloedsinn. Du kannst ja auch die aktuelle Position des Scripts heraus finden. Zwei mal realpath und einen cmp. Das geht aufjedenfall schneller, als jede regexp.
--"When I was in college, there were certain words you couldn't say in front of a girl," "Now you can say them, but you can't say 'girl." - Tom Lehrer
Geht natürlich. Nur dass du für meinen Ansatz auch keine Regexps brauchst
--
Ich würde es mit basename() machen, ehrlich gesagt. Dann noch einmal gucken, dass das Ergebnis nicht .. ist und fertig. Ob das performanter als die realpath()-Methode ist, weiß ich nicht, aber logisch und leicht nachvollziehbar isses allemal.
Danke, genau das hab ich gebraucht!
--Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (§ 28 Absatz 3 und 4 Bundesdatenschutzgesetz).
Ich würde einfach mit einem stinknormalen Suchen&Ersetzen alle "../" mit "" ersetzen (und vorher natürlich alle "\" durch "/"). Dann noch "./" vor den Pfad klatschen und doppelte Slashes entfernen und der Pfad ist sauber
--
Zitieren
