0
我有以下代碼:如何從url段安全地構建路徑?
app.get('/games/:id/log', function (req, res) {
fs.readFile('logs/' + req.params.id +'.log', 'utf8', function (err, data) {
res.send(data.split('\n').join('\<br />'));
});
});
允許訪問mysite.com/games/somename/log
擔任了./logs/somename.log
。不過,我擔心req.params.id
最終可能會變得像../..
一樣邪惡,讀取我不希望看到的文件。
這可能嗎?如果是這樣,我該如何解決這個安全問題?
「_You將永遠無法得到../ ..爲一個值爲id,因爲它不會匹配你的路由。「 - 可以'id'匹配任何不安全的呢?如果沒有,是否記錄在案? – Eric 2012-08-13 18:56:15
請參閱編輯:您可以通過req.route查看有關路由的更多信息 – travis 2012-08-13 18:56:37