[XDCTF2015]filemanager​/www.tar.gz​拿到源码我直接在github上看了https://github.com/CTFTraining/xdctf_2015_filemanagercommon.inc.php将传入的所有参数使用addslashes转义函数​​然后分析upload.php使用basename​函数确保文件名中没有目录路径，防止路径遍历攻击。