[英]PHP: allowing upload of .php files for users, how do I prevent them from running?
我允許人們上傳他們的項目文件,我加強了我的安全性,但我只需要簡單點。 如何停止執行他們上傳的子目錄中的任何文件?
我在想.htaccess
但是我需要為每個新的子目錄生成一個(我想),我是否需要廢棄我當前的代碼並使用.php
文件發送標.php
強制文件上的DL而不是運行?
您認為這是一個簡單而安全的解決方案嗎? 它只是上傳到像uploads/~foo/bar.html
這樣的子目錄,它看起來很漂亮,所以如果它能保持這樣的格式會很好。
把它放在uploads/.htaccess
:
RemoveType application / x-httpd-php .php
這適用於所有子文件夾。 還要確保您不解析用戶文件夾中的.htaccess。 這可以通過主服務器配置中的AllowOverride None
來完成,也可以通過不允許首先上傳.htaccess文件來完成。
例如,如果這些上傳的文件位於目錄“uploads”及其子目錄中:
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_URI} \.php [NC]
RewriteCond %{REQUEST_URI} \/uploads\/
RewriteRule ^(.*)$ index.php [F,L]
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.