Gestire con superficialità i file in PHP è sempre rischioso.
Partiamo dall'esempio volutamente errato di uno script che comprime i file CSS:
function minify( $css ) {
$css = preg_replace( '#\s+#', ' ', $css );
$css = preg_replace( '#/\*.*?\*/#s', '', $css );
$css = str_replace( '; ', ';', $css );
$css = str_replace( ': ', ':', $css );
$css = str_replace( ' {', '{', $css );
$css = str_replace( '{ ', '{', $css );
$css = str_replace( ', ', ',', $css );
$css = str_replace( '} ', '}', $css );
$css = str_replace( ';}', '}', $css );
return trim( $css );
}
header( 'Content-type: text/css' );
$file = isset( $_GET[ 'css' ] ) ? $_GET[ 'css' ] : ''; // Molto pericoloso
$content = file_get_contents( $_SERVER['DOCUMENT_ROOT'] . $file ); // Potenziale problema
echo minify( $content ); // Il problema diventa reale
Innanzitutto non sappiamo affatto se la variabile $file contenga un nome di file CSS valido o meno. Potrebbe ad esempio contenere un nome in un formato diverso da quello CSS o addirittura dello shell code.
Quindi occorre innanzitutto validare il nome del file:
if(preg_match('/^[a-z0-9]+\.css$/', $file)) { // Il formato del nome può variare
// Valido
}
A questo punto non sappiamo ancora se il file richiesto esiste. Occorre verificarlo:
$css_file = $_SERVER['DOCUMENT_ROOT'] . $file;
if(file_exists($css_file)) {
if(is_readable($css_file)) {
// Possiamo usarlo
}
}
Abbiamo verificato che il file esiste e che è accessibile. Potremmo aggiungere un'ulteriore verifica:
$finfo = finfo_open( FILEINFO_MIME_TYPE );
$mimetype = finfo_file( $finfo, $css_file );
finfo_close( $finfo );
if( $mimetype == 'text/css' ) {
// È un file CSS al 100%
}
Qui abbiamo verificato anche il corretto tipo MIME del file richiesto. La ridondanza non sempre è un male.