PHP防目录遍历：过滤..与限制根目录访问

PHP中防止目录遍历攻击的关键是严格过滤用户输入的文件路径，避免其通过../跳转到非预期目录。这类攻击常出现在文件下载、图片读取或日志查看等功能中，攻击者利用相对路径访问系统敏感文件（如/etc/passwd）。以下是几种有效防护方法。

1. 过滤路径中的 ../ 和特殊字符

用户传入的路径中不应包含..、//、\0等危险字符。使用str_replace或正则表达式清除或拒绝这些内容：

$userPath = str_replace(['../', '..\\'], '', $userPath);

$userPath = preg_replace('/[^a-zA-Z0-9._\-\/]/', '', $userPath);

2. 使用 realpath() 验证路径是否在安全目录内

通过realpath()将路径规范化，并检查其是否位于指定根目录下：

$baseDir = '/var/www/html/uploads/';
$userFile = $_GET['file'];
$fullPath = realpath($baseDir . $userFile);

if (strpos($fullPath, $baseDir) !== 0) {
    die('非法访问');
}

if (!$fullPath || !file_exists($fullPath)) {
    die('文件不存在');
}

readfile($fullPath);

3. 限制根目录访问，禁止绝对路径

不允许用户输入以/或C:\开头的路径，强制相对应用内部目录：

if (preg_match('/^[/\\\\]|[a-zA-Z]:[\\\\\\/]/', $userFile)) {
    die('不允许使用绝对路径');
}

4. 使用映射表或ID代替直接路径

最安全的方式是不让用户直接传路径。例如用ID对应文件：

$files = [
    1 => 'report.pdf',
    2 => 'image.jpg'
];

$id = (int)$_GET['id'];
if (!isset($files[$id])) {
    die('无效ID');
}

$filePath = '/safe/dir/' . $files[$id];

基本上就这些。核心原则是：不信任用户输入，始终校验最终路径是否在允许范围内，优先使用间接引用方式。