[XDCTF2015]filemanager​/www.tar.gz​拿到源码我直接在github上看了https://github.com/CTFTraining/xdctf_2015_filemanagercommon.inc.php将传入的所有参数使用addslashes转义函数​​然后分析upload.php使用basename​函数确保文件名中没有目录路径，防止路径遍历攻击。

公共文件访问与管理该模块提供公共文件访问和管理的服务接口，向下对接底层文件管理服务，如媒体库、外卡管理；向上对应用程序提供公共文件查询、创建的能力。 说明：本模块首批接口从APIversion9开始支持。后续版本的新增接口，采用上角标单独标记接口的起始版本。本模块接口