Eingabebereinigung zur Vermeidung von Path Traversal

Snippet

Eingabebereinigung zur Vermeidung von Path Traversal

Um Sicherheitslücken wie Path Traversal zu verhindern, sollte man immer den vollständigen Pfad auflösen und prüfen, ob er sich noch im vorgesehenen Basisverzeichnis befindet. Benutzer versuchen oft, Verzeichnisse mittels '../' Sequenzen zu verlassen.

snippet.cs

csharp

string baseDirectory = Path.GetFullPath("C:\\App\\Data");
string userInput = "../../secrets.txt";
 
string fullPath = Path.GetFullPath(Path.Combine(baseDirectory, userInput));
 
if (!fullPath.StartsWith(baseDirectory, StringComparison.OrdinalIgnoreCase))
{
    throw new SecurityException("Access denied: Path traversal detected.");
}

Erklärung

Path.GetFullPath(...)

Löst alle relativen Segmente und '..' auf, um den tatsächlichen absoluten Pfad auf der Festplatte zu finden.

fullPath.StartsWith(baseDirectory, ...)

Validiert, ob der resultierende Pfad ein Unterverzeichnis des sicheren Basisverzeichnisses ist.

Vorheriges Snippet Nächstes Snippet

Mehr C#-Übungen für Fortgeschrittene →

Verwandt

Aus deiner Bibliothek