路径分隔符＂\＂与＂/＂在Web中引发的漏洞

在VC代码中\\是一种转义字符，他表示一个\，就像\n表示回车一样。所以C中的路径名：D:\test\test.txt

应为：

 

CString filename=_T("D:\\test\\test.txt");

 

或

 

CString filename=_T("D:/test/test.txt");

 

"./ "加不加都一样,就是指当前目录 

"../ "表示当前目录的上级目录,即当前的父目录。正斜杠，又称左斜杠，符号是"/"；反斜杠，也称右斜杠，符号是"\"。

 

 

      在Unix/Linux中，路径的分隔采用正斜杠"/"，比如"/home/test"；而在Windows中，路径分隔采用反斜杠"\"，比如"C:\Windows\System"。 

有时我们会看到这样的路径写法，"C:\\Windows\\System"，也就是用两个反斜杠来分隔路径，这种写法在网络应用或编程中经常看到，事实上，上面这个路径可以用"C:/Windows/System"来代替，不会出错。但是如果写成了"C:\Windows\System"，那就可能会出现各种奇怪的错误了。其实这都是转义符惹的事。

 

 

      如果web在处理上使用"/"，那么就可以用"\"进行处理绕过。否则反之亦然。目前很多代码在"某些"地方并没有完全考虑这种情况，所以由此产生的一些漏洞还是不少。

      今天发现的fck编辑器漏洞就是由于在路径处理上的问题，可以上传到任意可写位置用于解决目录没有权限问题，如果目前最新的ck也是采用以前的方式进行处理，那么漏洞依旧存在。具体大家也可以自己去挖掘。