I've just read the PHP section on http://projects.webappsec.org/Null-Byte-Injection.

Sağladığı örnek oldukça aptal - Yani, neden ever (dizin geçişi saldırılar için, biri için) önce onu kontrol etmeden bir dış param dayalı bir dosya eklemek istersiniz?

Yani, standart PHP güvenlik uygulamaları takip eğer, gibi

• kodlama kullanıcı ekranda girilen veriler
• dosyaları ile çalışır doğrulayarak kullanıcı girdi şeyler
• CRSF önlenmesi
• PHP yürütür şey aracılığıyla yüklenenler yayınlanmıyor
• vb

Herkes bir gerçek yaşam örneği ya da bu sorun oluşabilir PHP geliştiricileri ortak bir hata verebilir misiniz?

Teşekkürler

Upate

Ben bir şey molası yapmak için çalışırken, ve bu ne var tried ediyorum.

// $filename is from public
$filename = "some_file\0_that_is_bad.jpg";

$ext = pathinfo($filename, PATHINFO_EXTENSION);

var_dump($filename, $ext);

Hangi çıkışlar

string(26) "some_file�_that_is_bad.jpg"
string(3) "jpg"