如何检查文件名string不是一个文件path

我在节点js上编写一个服务器应用程序。 操作系统是Linux。

我收到的文件名为一个纯string，所以可以被黑客入侵。 然后我连接文件名string和pathstring是这样的：

filepath = '/home/www/upload/' + filename; 

我想保护一个上传脚本，除了上传文件夹[或者它的子文件夹：可选]，使用我的应用程序逻辑，而不是Linux写入任何地方。

我目前天真的解决scheme是阻止有..子string的文件名。 我不在乎是否有人有两个点的文件名。

当然，在安全方面，我必须向观众征求意见：任何事情都可能出错？

 if (path.basename(filepath) != filename) { // reject that sukka } 

• Nodejs中的PassportJS永远不会调用callback函数
• 使用passport.js本地策略（使用用户名/密码）没有express.js

• 在会话ID中包含工作端口号的安全影响
• TLS – Node.js服务器到Android应用程序
• 使用Stripe API的非安全网站错误
• Node.js / Websockets – 为服务器添加安全性 – html客户端连接
• 在mongodb / node中存储敏感数据
• 从node.js应用程序中将string安全地存储在内存中
• socket.io是否仅向用户广播？
• 身份validation（Passport）足够安全与Node js后端服务器？
• Nodejs：在使用setuid / setgid之后在端口80上监听