防范目录遍历攻击

概述：

目录遍历攻击，又称为目录穿越攻击，是指攻击者利用Web应用程序没有经过严格检查的输入验证机制，通过修改URL参数来访问应用程序中不存在的目录，进而获取web服务器中的敏感文件。这是最常见的网络攻击之一，即使是一些大公司也可能会被攻击，如瞬时文件共享服务商Dropbox在2013年曾受到了目录遍历攻击。

观点：

目录遍历攻击容易被人们忽视，但实际上这种攻击危害非常大。攻击者可以通过目录遍历攻击窃取包括密码、信用卡信息以及其他敏感资料等等。同时，攻击者可以在web服务器中创建文件、执行文件和修改文件，甚至是将恶意软件和病毒上传到服务器中，进而控制整个站点。因此，目录遍历攻击不仅会损失重大，还会对其信誉造成极大的影响。

结论：

为了避免目录遍历攻击造成的损失，我们应该做好以下几点：

1. 输入过滤：尽可能的过滤所有输入，或者对于那些不能被完全过滤的可以限制特殊字符，规定输入格式等。

2. 权限限制：严格限制服务器中的目录和文件，阻止攻击者访问那些没有得到授权的文件。

3. 路径解析：使用安全的路径解析函数，比如说realpath()函数，此函数可以保证安全且无法遭受攻击。

4. 日志记录：记录所有用户的操作并且在发现异常时及时通知管理员和工作人员，让他们能够快速有效地做出反应。

综上所述，目录遍历攻击不应被忽视。我们应该时刻保持警惕，并采取有效措施来避免攻击，使我们的Web应用程序更加安全可靠。