[PHP-users 11713] Re: リンク先のフォルダ/ ファイルに日本語が含まれている為に URLEncodeしURLを作成したのですが、能・構等アスキーの "\"記号含む文字の時にリンクしません

Osamu Shigematsu php-users@php.gr.jp
Fri, 22 Nov 2002 16:29:27 +0900


重松です。こんにちは。

どういうファイルシステムを使っているか、書いてないので、
正確なことはわかりませんが、単に PHP からだけ、
ファイル名が日本語になればいいのならば、
ファイル名は適当につけて保存しておき、日本語のファイル名を書いた
ファイルを一緒に保存すればいい気もしますが。

	file000.txt -> ファイル
	.file000.txt -> ファイル名を書いたファイル

おそらくそういうニーズではないと思いますけど。。。

あと、所謂 XSS 脆弱性の親戚みたいなものになるかと思いますが、
相対パスを利用して、本来意図しないファイルを閲覧したり、
変更したりすることが可能になる、セキュリティーホールが
とても簡単に紛れ込む類のスクリプトを生成しようとしているということは、
十分理解されたうえ、でこういうものを作成されているのでしょうか?
# ディレクトリトラバース問題というらしいです。

提示されたコードだと、あまりに無防備に見えます。

とにかく、ファイルシステム、スクリプトのエンコードとか書いたほうが、
状況が把握され、解決の糸口が見つかる可能性が高くなると思われます。

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>