0
我正在經歷我的第一個形式在PHP上傳圖像。是否可以在上傳文件夾中阻止php腳本?
我在網上看過一些文章,說明它可能是危險的,所以有辦法阻止指定文件夾上的腳本?用.htaccess或php .ini指令?
A
回答
1
最好的方法是確保您的上傳目錄不在您的webroot中。只要網絡服務器具有讀/寫訪問權限,您就可以正常使用 - 不用擔心可執行文件上傳。這被討論了here on stackoverflow。
1
最好的辦法是在上傳時驗證文件的擴展名。如果它不是jpg/png/gif/etc,請關閉它。只要你的網絡服務器沒有錯誤地將任何文件解釋爲一個PHP文件,那麼採用這種方法你就不會受到傷害,只需很少的頭痛和很簡單的實現。
-3
我認爲,如果你不檢查上傳的文件類型,這可能是危險的,例如, 「黑客」上傳一個php文件,刪除所有的httpdocs文件,或者人們可以上傳到許多或大文件。
0
只有讓用戶上傳任何他們想要的東西時,它纔是危險的。只允許你決定是安全的,你不需要阻止任何東西。
1
檢查正在上傳的文件是否具有良性擴展名(.gif,.mp3等) - 並垃圾其他內容。對於額外的sekrit保護,將文件的原始名稱捕獲到數據庫中(以備將來參考),然後對文件名進行加密(並將其保存)。這樣,上傳者就無法通過文件名找到上傳的內容。
+0
這不會是那麼好一種方法來做到這一點。正如我可以創建我想要的並將其另存爲.mp3文件一樣......然而,您的第二個建議非常聰明。 – Joe 2010-01-24 17:16:33
+0
如果使用mp3擴展名將其上傳到服務器,則服務器在再次調用服務器時不會執行它 - 並且使用加密,這種方式無關緊要。 – 2010-01-25 21:13:43
相關問題
- 1. 是否可以在PHP中上傳文件夾?
- 2. 是否可以禁止在PHP腳本中顯示JavaScript文件?
- 3. 是否可以阻止Ruby腳本在JRuby中導入Java?
- 4. 是否可以阻止傳出短信?
- 5. 是否可以在ASP.NET中上傳整個文件夾?
- 6. SWFUpload是否可以將多個文件上傳到單個php腳本執行
- 7. php無法阻止大文件上傳
- 8. 在PHP中,是否可以將文件上傳到服務器?
- 9. 是否可以在iPhone中阻止SMS傳出?
- 10. 是否可以阻止Android手機上的傳出短信?
- 11. 是否可以阻止引用的上傳?
- 12. 是否可以使用shell腳本創建遞歸文件夾?
- 13. exe文件上傳阻止
- 14. 是否可以在playframework中加載/導入文件夾中的所有腳本?
- 15. php腳本可以停止?
- 16. Drupal無法創建「文件」文件夾(以及任何上傳的PHP腳本)
- 17. 是否可以使用npm在多個子文件夾中運行腳本?
- 18. 是否可以將變量傳遞給Windows FTP腳本文件?
- 19. 腳本上傳文件沒有上傳到uuid文件夾
- 20. PHP上傳文件腳本在ASP transcipted
- 21. 在Google Apps腳本上創建上傳文件的文件夾
- 22. 是否存在php文件夾管理腳本?
- 23. Cloudinary是否阻止任意文件上傳?
- 24. 是否可以在本地計算機上運行.php文件?
- 25. 是否可以在上傳之前顯示tmp文件夾中的圖像?
- 26. Iframe中的非阻止文件上傳
- 27. Android:是否可以在服務器內的文件夾上上傳圖片?
- 28. 是否可以阻止Redis pubsub?
- 29. 是否可以阻止git pull/fetches?
- 30. PHP腳本可以阻止整個服務器嗎?
+1對於一個很好的答案...最好的方式(好,至少和在webroot下無法上傳一樣好)可能會完全禁用該目錄下的php。這種解釋如何(足以去查看文檔中的更多細節):http://www.faqts.com/knowledge_base/view.phtml/aid/128/fid/35 – Fredrik 2010-01-24 16:39:56