[PHP]blokowanie dostępu do plików wyżej w hierarchii Opcje

[Majzel]

Chciałbym zablokować pliki powyżej folderu załóżmy download, wiem jak by to miało mniej więcej wyglądać ale nie wiem jak to napisać:D brakuje mi z może 1 linijki,

[PHP] pobierz, plaintext 
<?php
ob_start();
define('WEBMADE', true);
?>
<a href="cos.php?file=cos.jpg" />Ściągnij!</a>
<?php
 
if (isset($_GET['file']))
{       if ($_GET['file']== // tutaj coś żeby adres wyglądał tak żeby nic nie można wpisać pomiędzy)
            {
                
            
        header('Cache-control: private');
        header('Content-Length: ' . filesize($_GET['file']));
        header('Content-Type: application/octet-stream');
        header('Content-Disposition: attachment; filename=' . basename($_GET['file'])); // nagłówek ustawiający zawartość jako załącznik
 
        readfile($_GET['file']); // ściągnięcie pliku     
        }
}
 
echo basename($_GET['file']);
ob_end_flush();
?>
[PHP] pobierz, plaintext 

eh, jak to było ? jak to napisać?
bo chodzi mi o to żeby np. z takiego czegoś:
http://localhost/download/wlam.php?file=cos.jpg
nie mogli zrobić:
http://localhost/download/wlam.php?file=../index.php

Ten post edytował Majzel 27.11.2008, 20:40:13

[erix]

basename" title="Zobacz w manualu PHP" target="_manual

[Majzel]

nie jestem jeszcze na tym etapie żeby zrozumieć od zaraz o co chodzi z tą funkcją
zrobiłem tak i działa:

[PHP] pobierz, plaintext 
<?php
if (preg_match('/^[a-zA-Z.]+$/',$_GET['file']))
?>
[PHP] pobierz, plaintext 

ale o co chodzi z tym basename? przezcież ona tylko zwraca nazwe pliku

[bobo168]

sprawdzanie czy zmienna file posiada znak '/' jeśli tak do nie dopuszczasz do pobrania.

[PHP] pobierz, plaintext 
<?php
if(substr_count($_GET['file'],"../")==0)
{
 // wykonuje kod
} 
else
{
 // nie wykonuje kodu
}
?>
[PHP] pobierz, plaintext