Проверка Файлов: Функция validate_file() в WordPress
Функция validate_file() в WordPress используется для проверки имени файла и пути к нему на соответствие определённым правилам. Это важно для защиты вашего сайта от потенциальных угроз, связанных с загрузкой файлов.
Возвращаемые Значения
- Возвращаемое значение
0означает, что с файлом всё в порядке. - Возвращаемое значение
1указывает, что путь к файлу содержит попытку перехода по директориям (directory traversal). - Возвращаемое значение
2говорит о том, что путь к файлу соответствует формату Windows. - Возвращаемое значение
3означает, что файл не находится в списке разрешённых.
Использование Функции
Сигнатура
validate_file( $file, $allowed_files );- $file (string) (обязательный) — Путь к файлу.
- $allowed_files (array) — Массив разрешённых файлов. По умолчанию — пустой массив.
Примеры Использования
Пример 1: Корректный Путь
$path = 'uploads/2012/12/my_image.jpg';
echo validate_file( $path ); // выводит 0 (корректный путь)Пример 2: Некорректный Путь
$path = '../../wp-content/uploads/2012/12/my_image.jpg';
echo validate_file( $path ); // выводит 1 (недоступный путь)Код Функции
Вот как выглядит реализация функции validate_file() в WordPress:
function validate_file( $file, $allowed_files = array() ) {
if ( ! is_scalar( $file ) || '' === $file ) {
return 0; // Пустой файл или неверный тип
}
// Нормализация пути для Windows серверов.
$file = wp_normalize_path( $file );
// Нормализация путей для разрешённых файлов.
$allowed_files = array_map( 'wp_normalize_path', $allowed_files );
// Запрещено использовать ../ в пути.
if ( '../' === $file ) {
return 1;
}
// Запрещено использование ../ более одного раза.
if ( preg_match_all( '#../#', $file, $matches, PREG_SET_ORDER ) && ( count( $matches ) > 1 ) ) {
return 1;
}
// ../ должен находиться в конце пути.
if ( str_contains( $file, '../' ) && '../' !== mb_substr( $file, -3, 3 ) ) {
return 1;
}
// Проверка на наличие разрешённых файлов.
if ( ! empty( $allowed_files ) && ! in_array( $file, $allowed_files, true ) ) {
return 3;
}
// Запрещены абсолютные пути Windows.
if ( ':' === substr( $file, 1, 1 ) ) {
return 2;
}
return 0; // Всё в порядке}
Заключение
Функция validate_file() помогает обеспечить безопасность вашего сайта, проверяя файлы, которые загружаются или используются. Всегда полезно использовать её для проверки допустимых файлов и путей, особенно если ваш сайт позволяет пользователям загружать файлы.