Можно ли заблокировать php-скрипты в папке загрузки?

Question

Я испытываю свою первую форму в php, куда можно загружать изображения.

Я видел в Интернете какую-то статью, в которой объясняется, что это может быть опасно, поэтому есть какой-то способ заблокировать сценарии в указанной папке? Что-то с .htaccess или php .ini инструкцией?

Answer 1

Проверьте, что загружаемый файл имеет доброкачественное расширение (.gif, .mp3 и т. Д.) - и удалите все остальное. Для дополнительной защиты сохраните оригинальное имя файла в базе данных (для дальнейшего использования), затем зашифруйте имя файла (и сохраните его). Таким образом, все, что было загружено, не может быть найдено загрузчиком по имени файла.

Answer 2

ОЧЕНЬ лучший способ - убедиться, что каталог для загрузки находится за пределами вашего корневого каталога. Пока веб-сервер имеет доступ для чтения / записи, у вас все будет в порядке - не беспокойтесь о загрузке исполняемых файлов. Это обсуждалось здесь на stackoverflow .

Answer 3

Лучше всего проверить расширение файла при загрузке. Если это не jpg / png / gif / etc., Отклоните его. Если ваш веб-сервер не настроен неправильно для интерпретации любого файла как файла PHP, то при таком подходе вы избежите вреда с минимальной головной болью и действительно простой реализацией.

Answer 4

Это опасно, только если вы позволяете пользователям загружать все, что они хотят. Разрешите только то, что вы считаете безопасным, и вам не нужно ничего блокировать.

Answer 5

Я думаю, это может быть опасно, если вы не проверите, какой тип файла был загружен, например. «Хакер» загружает php-файл, который удаляет все ваши httpdocs вещи, или если люди могут загружать во многие или в большие файлы.