Apache-2.2
.htaccess 的腳本和文件執行安全性
我試圖弄清楚我應該使用哪種方法來控制腳本/文件執行安全性。
我正在嘗試防止惡意文件上傳/執行漏洞,其中使用者可能會上傳一些不好的東西,然後在我的網站上執行它。
防止這種情況的最佳方法是什麼?我只希望某些文件能夠執行。
我應該考慮採用白名單(只允許我的文件在目錄中)還是黑名單(基於文件副檔名)的方法?
謝謝!
您需要發布更多詳細資訊。
在將 Nginx 用於 Zend Framework 站點時,我會將 index.php 列入白名單並將 404 提供給任何其他 .php 文件。這對 ZF 來說很好,因為您只需要呼叫引導程序,它就會處理所有其他呼叫。
在使用主要是靜態站點時,我已將我知道的一些 PHP 文件(例如聯繫表單上的表單處理)列入白名單。
在不使用引導文件的較大站點上,我已將 Apache 程序可寫目錄中的任何 PHP 文件列入黑名單,例如“圖像上傳”“記憶體”等。
恐怕正確的解決方案將取決於您的網站的結構。
為什麼不發布更多資訊?
安德魯