Hallo auf meinem PHP-Projekt Der Benutzer senden den Namen des Themas (es ist ein Telegramm Desktop-Theme Maker) über Formulareingabe. (Das Projekt wird auf GitHub Github Project gehostet) Das Problem ist: Ich benutze dies in den Namen des Themas der Benutzer könnte möglicherweise auf jeden Ordner auf dem Server zugreifen. Ich versuchte es mit diesem begehen zu korrigieren: Github commitPfad Injektion in Benutzereingabe
$theme_name = str_replace("/", "_badyou_", $_GET["name"]); //contains the good themename
ich nur den Namen müssen so dachte ich, dass die Beseitigung der „/“ genug ist. Aber ich brauche die Meinung von jemandem, der Php besser kennt als ich.
P.S tut mir leid für mein schlechtes Englisch. Vielen Dank im Voraus.
Hat Ihr Code einen Mechanismus, um Fehler an Benutzer zu melden? Ich denke, es ist einfacher für jeden, schlechte Eingaben einfach mit einer richtigen Fehlermeldung abzulehnen, anstatt die Benutzereingaben nach dem Zufallsprinzip zu ändern. nicht zu vergessen, dass Black-List-Ansätze zum Scheitern verurteilt sind. –