FTP上傳：可能限制只有靜態內容

Question

實時在線錦標賽我上傳了一堆由我們錦標賽軟件生成的html頁面。在網絡服務器上，我用這些文件來做這些事情。所以錦標賽軟件是「整合」在我們的網站。

現在我們希望其他人運行這些比賽，然後他們必須上傳這些生成的html/css文件。通過http上傳它確實是太多的工作需要太多的時間。

我想創建另一個FTP帳戶只有通往錦標賽目錄的權限。到現在爲止還挺好。

但是，我想限制上傳文件類型只是爲了HTML和CSS文件，所以他們只能通過FTP上傳靜態內容（我只是偏執狂，我不希望他們可以上傳PHP文件與可能的危險代碼或其他未預料的文件類型）

這是可能的嗎？

Answer 1

文件只是字節序列，擴展名無關，危險是您讀取它們的方式。您必須將上傳的文件設置爲不可執行，並且您是安全的。即使您將.css文件設置爲以某種方式上傳，您也無法僅通過擴展來檢查它是否安全，攻擊者可能已經手動更改了擴展名。此外，如果您指定了Apache不知道的上傳文件夾，即不在您的www文件夾下，上傳PHP文件不會有問題。