AjaXplorer のインストール で Ajaxplorer をインストールしましたが、Windows ではディレクトリの区切りにバックスラッシュ(\)を使用しているため、「..\..\..\..\」などと入力するとルートのフォルダでさえ見ることができてしまいます。
ということで、下記のような感じでバックスラッシュ(\)をスラッシュ(/)に変換するエスケープ処理を1行追加します(ディレクトリトラバーサル対策)。
AjaXplorer/server/classes/class.Utils.php
function securePath($path)
{
if($path == null) $path = "";
$path = str_replace('\\', '/', $path);
$dirs = explode('/', $path);
for ($i = 0; $i < count($dirs); $i++)
{
if ($dirs[$i] == '.' or $dirs[$i] == '..')
{
$dirs[$i] = '';
}
}
$path = implode('/', $dirs);
while (preg_match('/\/\//', $path))
{
$path = str_replace('//', '/', $path);
}
return $path;
}