http://cwe.mitre.org/data/definitions/23.html 这个里面关于这个问题描述的很清楚。
为了防止利用诸如下列网址的攻击
http://example.com.br/get-files?file=report.pdf |
例如上面的URL,本意是想请求一个PDF,但是实际上却提供了一个可以遍历文件夹的漏洞,这个漏洞的后果就是你etc/passwd里面所有的东西全都列了出来
所以,在使用相对路径的时候,过滤掉文件路径中的../../是否常有必要的。
例如JAVA中的getCanonicalpath