Dwa*_*yne 2 php execution
我正在开发一个在线文件管理器,作为在LAMP堆栈上运行的网站的一部分.对于上传的文件,我应该禁止哪些文件扩展名?".php"是一个显而易见的问题.
Kir*_*eck 6
我会以另一种方式去做.仅允许发布的spec文件.否则可以是任何种类的文件类型,你不认为那是非常危险的.考虑一下你的"禁止PHP",你还考虑过".php5"或".phps"吗?花几分钟编译一下你允许的特定类型列表要好得多.这需要一些前端加载,但最终可能会让你头疼.
Joe*_*ite 5
我认为你最好配置 Apache,所以它甚至不会尝试从上传目录运行脚本.然后,如果有人上传.php文件并不重要 - 如果有人浏览该文件,服务器将像任何.gif或.jpg一样提供服务,而不是尝试在服务器上运行它 - 即,用户只需将.php文件下载到他们的计算机上即可.
(请注意,我什么也不是一个Apache专家,所以我不知道到底是什么配置更改必须做出禁用脚本执行-但它应该是很容易看你的配置文件,看看有什么已经打开上了您的主目录,并将其反转为您的上传目录.)
您可能还需要注意GIFAR漏洞利用.
归档时间:
15 年,4 月 前
查看次数:
916 次
最近记录:
9 年,8 月 前