Hola, estoy haciendo una galería de imágenes el cual utiliza un script de paginacion que encontré en este mismo foro, la particularidad de esto es que no utiliza una base de datos, sino que simplemente lee el contenido de un directorio y realiza la paginacion en base a los resultados obtenidos.
Tengo varias carpetas con distintas fotos, dichas carpetas corresponden a distintas galerias de imagenes, desde un menu llamo a alguna de estas galerias (directorio) pasando como parametro el nombre del directorio (galeria.php?galeria=fotos2) para asi poder leer su contenido y realizar la paginacion, el problema es que si un usuario mal intencionado ingresa lo siguiente en la barra de direcciones
http://www.misitio.com/galeria.php?galeria=../../ puede entrar a otros directorios que no corresponden a los que tengo para las galería de imagenes, no se que tan dañino pueda ser esto, espero algun comentario/consejo de los expertos que me guien a encontrar una solucion a esto.
Aqui les dejoparte del codigo que utilizo:
Código PHP:
include_once "PHPPaging.lib.php";
$paging = new PHPPaging;
// Datos del directorio a revisar
$path=$_GET['galeria'];
$dh = opendir($path);
$archivos = array();
while (($file = readdir($dh)) !== false) {
if($file != "." && $file != "..") {
$archivos[] = $file;
}
}
closedir($dh);
..... aqui muestro el contenido, la barra de navegacion, etc
necesito poder corregir el problema que explique en el principio de este post.
Cualquier comentario es bienvenido, gracias.