File upload 剥离引导有多安全'/';以及禁止'/';从用户输入文件路径?
在用户提供的文件名的任何部分中去掉前导“/”和不允许“../”是否仍然被认为是“安全的”?或者有没有什么办法(想到utf-8编码)解决这个问题?我不是问是否可以在每个文件系统上创建文件名。我希望保留尽可能多的用户输入。我认为您应该清除您使用的文件系统的文件名中禁止的字符(不要忘记\,因为它可能会在windows环境中导致一些问题…并可能提供一些转义字符问题…) 但您可以将文件名更改为您创建的某个序列,然后将文件名与数据库中的新名称进行映射。。。有了这个,您可以保留任何您喜欢的名称(在列出时要小心,以避免XSS等…)File upload 剥离引导有多安全'/';以及禁止'/';从用户输入文件路径?,file-upload,sanitization,sanitize,input-sanitization,File Upload,Sanitization,Sanitize,Input Sanitization,在用户提供的文件名的任何部分中去掉前导“/”和不允许“../”是否仍然被认为是“安全的”?或者有没有什么办法(想到utf-8编码)解决这个问题?我不是问是否可以在每个文件系统上创建文件名。我希望保留尽可能多的用户输入。我认为您应该清除您使用的文件系统的文件名中禁止的字符(不要忘记\,因为它可能会在windows环境中导致一些问题…并可能提供一些转义字符问题…) 但您可以将文件名更改为您创建的某个序列,然后将文件名与数据库中的新名称进行映射。。。有了这个,您可以保留任何您喜欢的名称(在列出时要小心