Здравствуйте, для файлового менедежра встал вопрос о реализации проверки корректности ввода пользователем новой директории.
Нуж но составить регулярку, но перед этим хотелось бы ничего не упустить.
Запрет на:
- точка в начале
- пробелы в начале и в конце
- знаки / и \
- знак %
- имя не меньше 1 символа
При этом хотелось бы учесть возможность использования как кирилицы так и латиницы, а также цифр конечно же.
Подскажите может я что упустил?
1. puta - 11 Июля, 2010 - 16:33:34 - перейти к сообщению
2. Мелкий - 11 Июля, 2010 - 16:46:09 - перейти к сообщению
3. puta - 11 Июля, 2010 - 16:54:27 - перейти к сообщению
т.е. достаточно будет проверить размер строки, отбросить слеши и пробелы в начале и в конце и этого будет достаточно для безопасного создания директории имя которой задаёт пользователь?
4. Мелкий - 11 Июля, 2010 - 17:17:34 - перейти к сообщению
Достаточно только убрать слэши (при том, если хостинг на *nix - то только /, а "\" путём не является). Пробелы так же никому не мешают в файловой системе, а нулевая длина - просто подсказывать пользователю, что он ошибся. Дыры в этом так же нет.
К тому же, создание директории ещё ничему не вредило.
К тому же, создание директории ещё ничему не вредило.
5. puta - 11 Июля, 2010 - 17:19:20 - перейти к сообщению
ок, спасибо. на счёт пробелов - сталкивался с проблемой когда через фтп невозможно было удалить или переименовать файлы начинающиеся с пробелов.
6. Champion - 11 Июля, 2010 - 17:51:00 - перейти к сообщению
puta пишет:
Моё личное мнение: не надо ничего отбрасывать и вообще изменять пользовательские данные. Лучше сообщить пользователю об ошибке и не обрабатывать такие имена.
отбросить слеши и пробелы
7. JustUserR - 12 Июля, 2010 - 21:45:54 - перейти к сообщению
puta пишет:
Видимо неправильная обработка начальных пробелов является особенностью конфигурации FTP-сервера или клиента - это же относится к файлам имя которых начинается с точки и которые трактуются как скрытые файлы и могут не показываться без добавления опции -a в команде листингаНа счёт пробелов - сталкивался с проблемой когда через фтп невозможно было удалить или переименовать файлы начинающиеся с пробелов
При создании директорий устанавливайте требумого владельцева и права доступа - а также обратите внимание на права доступа к основой директории внутри которой будут создаваться вложенные - если не давать лишних широких прав доступа то пользователь не сможет навредить вам Если указанный ресурс уже существует то нужно произвести соответствующую проверку - чтобы содержимое папки не было затерто определенным образом
Также внимание следует обратить на кодировку вводимых данных - чтобы окончательная их проверка регулярными выражениями уже шла относительно той же внутренней кодировке которая будет использоваться в системных вызовах
8. puta - 15 Июля, 2010 - 16:40:23 - перейти к сообщению
Ок, спасибо. Ещё один вопрос связанный с именами и файловым менеджером. Собственно проверяю теперь имя файла для двух действий: переименование файла и загрузка файла.
Нашёл вот такую функцию для удаления "лишних" символов. Вопрос в следующем, разумно ли использовать эту функцию и на выходе проверять чистый вариант с вариантом который ввёл пользователь. Если не сходятся либо выводить ошибку либо сохранять чистый вариант в зависимости от конфигурации или же стоит написать регулярку для этих вещей?
Нашёл вот такую функцию для удаления "лишних" символов. Вопрос в следующем, разумно ли использовать эту функцию и на выходе проверять чистый вариант с вариантом который ввёл пользователь. Если не сходятся либо выводить ошибку либо сохранять чистый вариант в зависимости от конфигурации или же стоит написать регулярку для этих вещей?
PHP:
скопировать код в буфер обмена
скопировать код в буфер обмена
- function check_filename( $filename) {
- if ($result) {
- }
- return $result;
- }
забыл уточнить - проверяется только имя без расширеня. расширение я проверяю по спику допустимых их соответствующего массива