我想规范化来自外部资源的路径以防止目录遍历攻击。我知道 realpath() 函数,但遗憾的是这个函数只返回现有目录的路径。因此,如果目录(尚不存在),realpath() 函数会切断不存在的路径的整个部分。
所以我的问题是:你知道一个只规范化路径的PHP函数吗?
PS:我也不想提前创建所有可能的目录;-)
没有内置的PHP函数。请改用类似以下内容的内容:
function removeDots($path) {
$root = ($path[0] === '/') ? '/' : '';
$segments = explode('/', trim($path, '/'));
$ret = array();
foreach($segments as $segment){
if (($segment == '.') || strlen($segment) === 0) {
continue;
}
if ($segment == '..') {
array_pop($ret);
} else {
array_push($ret, $segment);
}
}
return $root . implode('/', $ret);
}
感谢Benubird/Cragmonkey纠正我,在某些情况下,我之前的答案不起作用。因此,我做了一个新的,出于最初的目的:表现良好,更少的行,并使用纯正则表达式:
这次我测试了更严格的测试用例,如下所示。
$path = '/var/.////./user/./././..//.//../////../././.././test/////';
function normalizePath($path) {
$patterns = array('~/{2,}~', '~/(./)+~', '~([^/.]+/(?R)*.{2,}/)~', '~../~');
$replacements = array('/', '/', '', '');
return preg_replace($patterns, $replacements, $path);
}
正确答案是/test/。
不是为了竞争,但性能测试是必须的:
测试用例:循环 100k 次,在 Windows 7、i5-3470 四核、3.20 GHz 上。
我的:1.746秒
汤姆·伊姆雷:4.548秒
贝努伯德:3.593秒
熊:4.334秒
这并不意味着我的版本总是更好。在几种情况下,它们执行模拟。
我认为 Tamas's 的解决方案会奏效,但也可以使用正则表达式来做到这一点,这可能效率较低,但看起来更整洁。瓦尔的解决方案不正确;但是这个有效。
function normalizePath($path) {
do {
$path = preg_replace(
array('#//|/./#', '#/([^/.]+)/../#'),
'/', $path, -1, $count
);
} while($count > 0);
return $path;
}
是的,它不处理 ./\ 等所有可能的不同编码,但这不是它的目的;一个函数应该只做一件事,所以如果你也想%2e%2e%2f转换为../,首先通过一个单独的函数运行它。
Realpath还解析了符号链接,如果路径不存在,这显然是不可能的;但是我们可以去掉额外的'/./'、'/.。/' 和 '/' 字符。
严格但安全的实现。如果您仅使用 ASCII 作为文件名,则适合:
/**
* Normalise a file path string so that it can be checked safely.
*
* @param $path string
* The path to normalise.
* @return string
* Normalised path or FALSE, if $path cannot be normalized (invalid).
*/
function normalisePath($path) {
// Skip invalid input.
if (!isset($path)) {
return FALSE;
}
if ($path === '') {
return '';
}
// Attempt to avoid path encoding problems.
$path = preg_replace("/[^x20-x7E]/", '', $path);
$path = str_replace('\', '/', $path);
// Remember path root.
$prefix = substr($path, 0, 1) === '/' ? '/' : '';
// Process path components
$stack = array();
$parts = explode('/', $path);
foreach ($parts as $part) {
if ($part === '' || $part === '.') {
// No-op: skip empty part.
} elseif ($part !== '..') {
array_push($stack, $part);
} elseif (!empty($stack)) {
array_pop($stack);
} else {
return FALSE; // Out of the root.
}
}
// Return the "clean" path
$path = $prefix . implode('/', $stack);
return $path;
}
我的2美分。正则表达式仅用于路径的空块:
<?php
echo path_normalize('/a/b/c/../../../d/e/file.txt');
echo path_normalize('a/b/../c');
echo path_normalize('./../../etc/passwd');
echo path_normalize('/var/user/.///////././.././.././././test/');
function path_normalize($path){
$path = str_replace('\','/',$path);
$blocks = preg_split('#/#',$path,null,PREG_SPLIT_NO_EMPTY);
$res = array();
while(list($k,$block) = each($blocks)){
switch($block){
case '.':
if($k == 0)
$res = explode('/',path_normalize(getcwd()));
break;
case '..';
if(!$res) return false;
array_pop($res);
break;
default:
$res[] = $block;
break;
}
}
return implode('/',$res);
}
?>