Kode di atas tidak menunjukkan adanya validasi path file yang ketat. Sehingga membuka celah akses ke direktori atau file yang sensitif, seperti file konfigurasi CMS atau database.
Validasi patch dengan strpos($path, './') tergolong lemah, karena hanya mendeteksi pola direktori (./) dan tidak mampu mecegah penggunaan pola traversal seperti ini: ../, yang biasanya digunakan hacker untuk mengakses data rahasia.
Patch (perbaikan) dengan menambahkan mekanisme validasi yang lebih ketat
Fungsi khusus alm_is_valid_path() ditambahkan untuk memblokir setiap upaya akses ke direktori di luar batas yang ditentukan.
P.S.:
Snippet di atas didapat dari riset software plugin WordPress: Ajax Load More