PHP目录遍历函数需在调用前/后明确注释遍历目的、过滤逻辑与安全边界:scandir()须注明“已排除父目录和当前目录”,RecursiveDirectoryIterator需强调“必须包装为RecursiveIteratorIterator”,路径拼接要标明版本兼容性,用户输入校验注释须紧贴$dir合法性检查,PHPDoc应规范@param和@return类型,禁用功能时用[DISABLED IN PROD]等明确标识。
直接在 scandir()、opendir() + readdir() 或 RecursiveDirectoryIterator 调用前/后加注释,核心是说明「遍历目的」「过滤逻辑」「安全边界」。不写清楚容易被当成漏洞入口。
scandir() 返回数组,需手动 array_filter() 排除 '.' 和 '..' —— 注释里必须点明“已排除父目录和当前目录”RecursiveDirectoryIterator 时,若没套 RecursiveIteratorIterator,会报 Fatal error: Uncaught UnexpectedValueException —— 注释建议写成:// 必须包装为 RecursiveIteratorIterator 才能 foreach 遍历
dirname(__FILE__) . '/uploads' 比 __DIR__ . '/uploads' 更老但兼容 PHP 5.2+;后者更简洁,但注释里得写清最低版本要求关键不是“有没有注释”,而是注释是否紧贴输入校验逻辑。用户传进来的 $dir 变量,必须在进入遍历前完成合法性检查,注释就该落在那里。
/**
* 检查 $dir 是否为 uploads 子目录,禁止 ../ 穿越
* 允许路径:'images', 'pdfs';拒绝:'../config', '/etc/passwd'
*/
$dir = basename($_GET['path'] ?? '');
if (!in_array($dir, ['images', 'pdfs'], true)) {
die('Invalid directory');
}
// 此处开始遍历:$realPath = __DIR__ . '/uploads/' . $dir;
realpath($user_input),注释必须写明:// realpath() 同时解决 ../ 和符号链接问题,但返回 false 表示非法路径
想让 PhpStorm 或 VS Code 的 intelephense 显示目录结构提示,得在函数文档块里用 @return 和 @param 标准化描述,而不是写“遍历文件夹”这种废话。
