拒絕PHP腳本要在特定文件夾中運行，但仍然可以下載

Question

我正在爲我的網站用戶使用PHP和MySQL設計內部郵件傳送應用程序。 用戶可以附加圖片等附件。

但是當用戶附加PHP腳本或html頁面作爲附件時會出現問題。將直接url提供給收件人會導致附加的腳本/頁面在服務器上運行。

如果網站存在一些易受攻擊的代碼，那麼這又會帶來危險。

所以，我要的是：

拒絕所有的PHP腳本，.html和.exe文件附件文件夾內，以在服務器上運行

但所有文件必須仍然下載和觀看網站內的文字文件（.PHP或.html，的.css，.js文件），由位於所有拒絕訪問腳本的另一個文件夾

所有其他的PHP腳本，但不是文件夾

可以在任何檢查的用戶授權一個幫助我在這？我已經看到了問題，與此類似，如：Disable PHP in directory (including all sub-directories) with .htaccess

但是這是從不同的，因爲它特別要求iis環境和web.config解決方案（如果可能）。但其他人使用.htaccess或httpd.conf這兩個不工作iis對windows

在此先感謝。

Answer 1

我認爲最簡單快捷的方法就是將所有上傳的文件壓縮成zip文件，然後全部以zip形式提供，無論內容如何。

你也可以用.htaccess文件做一些事情，但如果服務器軟件改變了，你可能需要再次弄亂它以使一切安全，而當你沒有時，你暴露了。