パーフェクトPHP ディレクトリトラバーサル対応方法　ホワイトリスト方式

directory_travasal_02.php

<?php
  if (isset($_GET['file']) === true && $_GET['file'] !== '') {
// 指定されたファイルがfile1かfile2でなければ処理終了
    if (! in_array($_GET['file'], array('file1', 'file2'))) {
      exit();
    }
// GET変数で指定されたファイルが /var/www/html に存在すれば内容を出力
    $file = '/var/www/html/' . $_GET['file'];
    if (file_exists($file) === true) {
      readfile($file);
    }
  }