Форумы портала PHP.SU :: Версия для печати :: Безопасное имя директории

1. puta - 11 Июля, 2010 - 16:33:34 - перейти к сообщению

Здравствуйте, для файлового менедежра встал вопрос о реализации проверки корректности ввода пользователем новой директории.
Нуж но составить регулярку, но перед этим хотелось бы ничего не упустить.

Запрет на:
- точка в начале
- пробелы в начале и в конце
- знаки / и \
- знак %
- имя не меньше 1 символа

При этом хотелось бы учесть возможность использования как кирилицы так и латиницы, а также цифр конечно же.

Подскажите может я что упустил?

2. Мелкий - 11 Июля, 2010 - 16:46:09 - перейти к сообщению

зачем регулярка? basename, strlen и strpos (если вам так % и точка не нравятся, хотя это полностью нормальные символы)

3. puta - 11 Июля, 2010 - 16:54:27 - перейти к сообщению

т.е. достаточно будет проверить размер строки, отбросить слеши и пробелы в начале и в конце и этого будет достаточно для безопасного создания директории имя которой задаёт пользователь?

4. Мелкий - 11 Июля, 2010 - 17:17:34 - перейти к сообщению

Достаточно только убрать слэши (при том, если хостинг на *nix - то только /, а "\" путём не является). Пробелы так же никому не мешают в файловой системе, а нулевая длина - просто подсказывать пользователю, что он ошибся. Дыры в этом так же нет.

К тому же, создание директории ещё ничему не вредило.

5. puta - 11 Июля, 2010 - 17:19:20 - перейти к сообщению

ок, спасибо. на счёт пробелов - сталкивался с проблемой когда через фтп невозможно было удалить или переименовать файлы начинающиеся с пробелов.

6. Champion - 11 Июля, 2010 - 17:51:00 - перейти к сообщению

puta пишет:

отбросить слеши и пробелы

Моё личное мнение: не надо ничего отбрасывать и вообще изменять пользовательские данные. Лучше сообщить пользователю об ошибке и не обрабатывать такие имена.

7. JustUserR - 12 Июля, 2010 - 21:45:54 - перейти к сообщению

puta пишет:

На счёт пробелов - сталкивался с проблемой когда через фтп невозможно было удалить или переименовать файлы начинающиеся с пробелов

Видимо неправильная обработка начальных пробелов является особенностью конфигурации FTP-сервера или клиента - это же относится к файлам имя которых начинается с точки и которые трактуются как скрытые файлы и могут не показываться без добавления опции -a в команде листинга
При создании директорий устанавливайте требумого владельцева и права доступа - а также обратите внимание на права доступа к основой директории внутри которой будут создаваться вложенные - если не давать лишних широких прав доступа то пользователь не сможет навредить вам Если указанный ресурс уже существует то нужно произвести соответствующую проверку - чтобы содержимое папки не было затерто определенным образом
Также внимание следует обратить на кодировку вводимых данных - чтобы окончательная их проверка регулярными выражениями уже шла относительно той же внутренней кодировке которая будет использоваться в системных вызовах

8. puta - 15 Июля, 2010 - 16:40:23 - перейти к сообщению

Ок, спасибо. Ещё один вопрос связанный с именами и файловым менеджером. Собственно проверяю теперь имя файла для двух действий: переименование файла и загрузка файла.

Нашёл вот такую функцию для удаления "лишних" символов. Вопрос в следующем, разумно ли использовать эту функцию и на выходе проверять чистый вариант с вариантом который ввёл пользователь. Если не сходятся либо выводить ошибку либо сохранять чистый вариант в зависимости от конфигурации или же стоит написать регулярку для этих вещей?

PHP:
скопировать код в буфер обмена

function check_filename( $filename) {
    $result=(substr($filename,0,1)!='/' && substr($filename,0,1)!='\\');
    if ($result) {
      $test=array('..','://','~','`','\'','"',':',';',',','&','>','<');
      for ($i=0, $count=count($test); $i<$count && $result; $i++) $result=(strpos($filename,$test[$i])===false);
    }
    return $result;
}

забыл уточнить - проверяется только имя без расширеня. расширение я проверяю по спику допустимых их соответствующего массива