phpを使った開発におけるNULLバイトアタック対策とディレクトリトラバーサル対策

NULLバイトアタック

　NULL文字 (\0) が入力値に有った場合はfileopen時などに誤動作を起こす可能性があります。そのため、危険な個所については
str_replace("\0",'',$string);
をかけておきます。

ディレクトリトラバーサル

　ファイルを読み込む際、ユーザーから「../../../」などと入力されると、予期しないファイルを読み出されてしまう可能性があります。そのためこれをサニタイズします。../の削除あるいはbasename()を使うと良いでしょう。