.htaccess 的腳本和文件執行安全性

我試圖弄清楚我應該使用哪種方法來控制腳本/文件執行安全性。

我正在嘗試防止惡意文件上傳/執行漏洞，其中使用者可能會上傳一些不好的東西，然後在我的網站上執行它。

防止這種情況的最佳方法是什麼？我只希望某些文件能夠執行。

我應該考慮採用白名單（只允許我的文件在目錄中）還是黑名單（基於文件副檔名）的方法？

謝謝！

您需要發布更多詳細資訊。

在將 Nginx 用於 Zend Framework 站點時，我會將 index.php 列入白名單並將 404 提供給任何其他 .php 文件。這對 ZF 來說很好，因為您只需要呼叫引導程序，它就會處理所有其他呼叫。

在使用主要是靜態站點時，我已將我知道的一些 PHP 文件（例如聯繫表單上的表單處理）列入白名單。

在不使用引導文件的較大站點上，我已將 Apache 程序可寫目錄中的任何 PHP 文件列入黑名單，例如“圖像上傳”“記憶體”等。

恐怕正確的解決方案將取決於您的網站的結構。

為什麼不發布更多資訊？

安德魯

引用自：https://serverfault.com/questions/196080