@ex3xeng

Нужно ли фильтровать данные file_exists(), file_get_contents()?

имеется такая схема:

$file = (isset($_GET['file']) && !empty($_GET['file']) ? $_GET['file'] : false);
if ($file) {
   if (file_exists($file)) $file = file_get_contents($file);
}


при этом параметр get отправляется клиентом, нужно ли как то фильтровать входящие данные в этом случае? возможны ли ошибки?
  • Вопрос задан
  • 184 просмотра
Пригласить эксперта
Ответы на вопрос 2
alexey-m-ukolov
@alexey-m-ukolov Куратор тега PHP
Конечно, это классическая ошибка - вы фактически даете пользователю прочитать произвольный файл на вашем сервере. Это огномная дыра в безопасности.
На stepic.org есть курс по безопасности веб-проектов и в нем есть глава, посвященная именно этой проблеме.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы