En nuestra aplicación (PHP, MySQL) permitimos a los usuarios crear plantillas que se almacenan en su propio subdirectorio (que lleva el nombre de la plantilla).
Alguien sugirió usar un saneamiento de nombre de archivo estándar, pero no estoy demasiado cómodo para permitir que el usuario nombre su plantilla 'mytemplate.php'
¿Está permitiendo las extensiones en los nombres de directorio un riesgo de seguridad?
Bueno, cambiar el nombre de solo la carpeta es más una cuestión de buena práctica. En el caso de que desee que el usuario acceda a su carpeta de plantillas como: site.com/templates/mytemplate.php ; Te recomendaría que implementes "URL amigable" (URL semántica), por lo que en este caso pasarás el 'mytemplate.php 'como una variable y no como un nombre de carpeta.
Si es así, debido al carácter de punto, puedes codificar ese carácter de alguna manera, por ejemplo. urlencoding. El otro carácter que necesitaría codificar de todos modos, porque no está permitido en los nombres de directorio, es la barra diagonal. Y, si es urlencoding, no olvide el signo de porcentaje en sí mismo.
Urlencoding:
% → %25
. → %2E
/ → %2F
Secuencias de escape:
\ → \
. → \.
% → \%
Lea otras preguntas en las etiquetas vulnerability php