PHP：推荐的方法来避免路径中的斜线（例如，以防止目录遍历攻击）

Question

我正在寻找一个PHP函数来将字符串清理成安全和有效的文件名，而不使用目录分隔符（斜杠）。

理想情况下，它应该是可逆的，它不应该争取更多的名称。

当然我想防止故意的目录遍历攻击。但我也想防止创建子文件夹。

我认为urlencode()会工作，但我想知道这是否足够，和/或如果有更好的或更受欢迎的东西。

此外，如果在Windows上有一些功能同样好（反斜杠作为目录分隔符） - 所以解决方案将是可移植的。

使用案例/情景：

作为数据导入的一部分，我想下载从远程URL文件到本地文件系统。这些网址来自csv文件。它们大多数都可以，但它们可能包含比预期更多的斜线。

E.g.他们大多是这样的：
https://files.example.com/pdf/12345.pdf

但随后单个文件可能是这样的：
https://files.example.com/pdf/1/2345.pdf

这些文件都应该去到同一个目录，例如 https://files.example.com/pdf/12345.pdf - >/destination/dir/12345.pdf

像1/2345.pdf这样的文件不应该导致子目录。相反，/应该以某种（可逆的）方式逃脱。例如。与urlencode（）这将是1%2F2345.pdf。

Answer 1

您可以创建一组替代品。例如，你可以让出现在文件名中的/ char用“（斜线）”之类的东西表示。只需使用str_replace就可以在查找文件名和编码文件名之间进行切换。这只是一个例子。

Answer 2

这应该对你有帮助。

输入：https://files.example.com/pdf/1/2345.pdf

输出：pdf_1_2345.pdf

$url = 'https://files.example.com/pdf/1/2345.pdf'; 
$parse = parse_url($url); 

//get path, remove first slash 
//$path: pdf/1/2345.pdf 
$path = substr($parse['path'],1); 

//result becomes: pdf_1_2345.pdf 
$result = str_replace('/','_',$path); 

编辑：最好的办法是存储远程文件的URL数据库中，它的散列值（使用MD5或类似的）并以本地名称保存文件，并将该散列值存储在数据库中。

这是你最好的选择，这样你总能知道哪个远程文件对应你的本地文件，反之亦然，你不需要在本地处理文件名，因为它们可以是任何你想要的只要你让他们检查唯一性）

Database Table: 
-------------------- 
| id | remote_url     | local_name  | 
----------------------------------------------------- 
| 1 | http://example/.../123.pdf | sdflkfd..dl.pdf| 

你明白了。

Answer 3

您可以使用此功能，它用下划线替换所有目录分隔符。

function secureFilePath($str) 
{ 
    $str = str_replace('/', '_', $str); 
    $str = str_replace('\\', '_', $str); 
    $str = str_replace(DIRECTORY_SEPARATOR, '_', $str); // In case it does not equal the standard values 
    return $str; 
}