编程中对生成文件文件名的安全性处理
作者:
发布时间:2012-9-26
文件名是提交给系统处理的一种数据,但如果不小心的话,却能导致系统安全性大大降低. 想要打开一个用户提供的名字的文件时,都必须严格检查这个文件名以免招至系统重 要文件泄露. 用户输入一个文件名,有可能就试图打开输入危险字符串! 例如,用户输入的文件名中包含路径字符,如目录斜杠和双点!尽管你期望的是输入公用的 文件名:例如about.html.但结果却可能是/about.html或../about.html ,系统中所有文件就有可能泄露出去,后果是可想而知的.
如果用户输入一个已有文件名或对系统的运作有很重要的文件件名!比如输入的文件名是/etc/passwd,那用户就可以对该文件任意修改.可能第二天登录网站时进行
更新的时候,你就发现密码被别人修改了,那时你只有写信给系统管理员请求帮助了.
上一篇: 购物与支付流程的优化
下一篇: 务实微平台服务企业信息移动化