防止目录遍历攻击的关键是严格过滤并验证用户输入的文件路径。1. 过滤 ../ 和特殊字符,使用 str_replace 或正则清理输入;2. 利用 realpath() 规范化路径并校验其是否位于安全目录内;3. 禁止绝对路径输入,限制访问范围;4. 优先使用文件ID映射代替直接路径传递。核心是不信任用户输入,确保最终路径在预设范围内。
PHP中防止目录遍历攻击的关键是严格过滤用户输入的文件路径,避免其通过../跳转到非预期目录。这类攻击常出现在文件下载、图片读取或日志查看等功能中,攻击者利用相对路径访问系统敏感文件(如/etc/passwd)。以下是几种有效防护方法。
1. 过滤路径中的 ../ 和特殊字符
用户传入的路径中不应包含..、//、\0等危险字符。使用str_replace或正则表达式清除或拒绝这些内容:
$userPath = str_replace(['../', '..\\'], '', $userPath);或更严格地只允许字母、数字和特定符号:
$userPath = preg_replace('/[^a-zA-Z0-9._\-\/]/', '', $userPath);
但注意:仅靠过滤不够,仍可能被绕过,需结合其他措施。
2. 使用 realpath() 验证路径是否在安全目录内
通过realpath()将路径规范化,并检查其是否位于指定根目录下:
$baseDir = '/var/www/html/uploads/';
$userFile = $_GET['file'];
$fullPath = realpath($baseDir . $userFile);
if (strpos($fullPath, $baseDir) !== 0) {
die('非法访问');
}
if (!$fullPath || !file_exists($fullPath)) {
die('文件不存在');
}
readfile($fullPath);
说明: realpath()会解析../和符号链接,得到真实路径。再判断该路径是否以合法根目录开头,防止跳出限制范围。
3. 限制根目录访问,禁止绝对路径
不允许用户输入以/或C:\开头的路径,强制相对应用内部目录:
立即学习“PHP免费学习笔记(深入)”;
if (preg_match('/^[/\\\\]|[a-zA-Z]:[\\\\\\/]/', $userFile)) {
die('不允许使用绝对路径');
}
同时可设定白名单目录,只允许访问预定义的几个子目录。
4. 使用映射表或ID代替直接路径
最安全的方式是不让用户直接传路径。例如用ID对应文件:
$files = [
1 => 'report.pdf',
2 => 'image.jpg'
];
$id = (int)$_GET['id'];
if (!isset($files[$id])) {
die('无效ID');
}
$filePath = '/safe/dir/' . $files[$id];
这样完全避免路径操纵风险。
基本上就这些。核心原则是:不信任用户输入,始终校验最终路径是否在允许范围内,优先使用间接引用方式。
