http://cwe.mitre.org/data/definitions/23.html 這個裏面關於這個問題描述的很清楚。
爲了防止利用諸如下列網址的攻擊
http://example.com.br/get-files?file=report.pdf |
例如上面的URL,本意是想請求一個PDF,但是實際上卻提供了一個可以遍歷文件夾的漏洞,這個漏洞的後果就是你etc/passwd裏面所有的東西全都列了出來
所以,在使用相對路徑的時候,過濾掉文件路徑中的../../是否常有必要的。
例如JAVA中的getCanonicalpath