Предотвратить выполнение загруженных файлов PHP?

Question

Предотвратить выполнение загруженных файлов PHP?

В моем проекте пользователям разрешено загружать файлы любого типа. Мне нужно обеспечить безопасность от выполнения загруженных файлов, которые могут быть проанализированы php (*.php, *.html и т. Д.)

Есть ли способ сказать apache не анализировать файлы с php в web/uploads и просто отображать их в виде простого текста? Какие есть другие варианты?

9

php .htaccess apache2

Источник

user219931 04 май '11 в 15:11

3 ответа

Решение

Вам нужна директива Apache SetHandler: http://httpd.apache.org/docs/current/mod/core.html

Это позволяет принудительно обрабатывать все файлы в каталоге определенным обработчиком. Так что-то вроде:

<Location /web/uploads>
SetHandler None
</Location>

должен делать то, что вы хотите.

2

Источник

user691688 04 май '11 в 15:19

Почему бы просто не переименовать расширения файлов при загрузке в .phps?

Чтобы уточнить PHPS, это представление исходного кода файла PHP:

Чтобы уточнить:

file.php => file.phps

быстрый пример Google:

http://filext.com/file-extension/PHPS

-1

Источник

user158014 04 май '11 в 15:13

Другие вопросы по тегам php .htaccess apache2

user196838 04 май '11 в 15:17 2011-05-04 15:17 · Accepted Answer · 2011-05-04 15:17

Держите их все в одной папке и установите эту строку в каталоге .htaccess файл:

php_flag engine off

Это также позаботится о других эксплойтах, таких как встраивание кода PHP в файлы.gif.

15

Источник

user196838 04 май '11 в 15:17