防止執行子目錄中的.htaccess文件
[英]Prevent .htaccess files within subdirectories from being executed
問題描述
我有一項服務,允許用戶上傳他們喜歡的任何東西。 我已經執行了代碼,並禁用了其他代碼,但是我找不到阻止他們上載的.htaccess文件的方法。
1 個解決方案
解決方案1
0 已采納 2012-11-24 08:26:29
您應該始終重命名用戶上傳的文件! 如果您不這樣做,用戶可以輕松地上傳hack.php ,然后啟動它以使您的網站被黑或濫用。 所以這實際上是您的問題。
上傳后重命名文件。 在數據庫中保留原始名稱(以及大小,mime類型等),並通過腳本路由文件下載/查看,該腳本將從DB獲取原始名稱並構建適當的頭,然后將該文件的file()內容提供給用戶。 那會阻止文件在服務器上執行
或者,如果僅是.htaccess的問題(但我敢說它更寬),則可以將apache配置為在某些目錄中忽略.htaccess。 它需要計算機的root權限,但是您可以將<Directory FOLDER>塊添加到主機配置,然后在其中添加AllowOverride None 。
或者,只需檢查上載的目標文件名並拒絕任何.htaccess和.htpassword 。 或任何以開頭的名稱.
Htaccess:將目錄中的文件從任何htaccess規則重寫中刪除
[英]Htaccess: exculde files within directory from being rewrited by any htaccess rules
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.