Apache-2.2

.htaccess 的腳本和文件執行安全性

  • October 29, 2010

我試圖弄清楚我應該使用哪種方法來控制腳本/文件執行安全性。

我正在嘗試防止惡意文件上傳/執行漏洞,其中使用者可能會上傳一些不好的東西,然後在我的網站上執行它。

防止這種情況的最佳方法是什麼?我只希望某些文件能夠執行。

我應該考慮採用白名單(只允許我的文件在目錄中)還是黑名單(基於文件副檔名)的方法?

謝謝!

您需要發布更多詳細資訊。

在將 Nginx 用於 Zend Framework 站點時,我會將 index.php 列入白名單並將 404 提供給任何其他 .php 文件。這對 ZF 來說很好,因為您只需要呼叫引導程序,它就會處理所有其他呼叫。

在使用主要是靜態站點時,我已將我知道的一些 PHP 文件(例如聯繫表單上的表單處理)列入白名單。

在不使用引導文件的較大站點上,我已將 Apache 程序可寫目錄中的任何 PHP 文件列入黑名單,例如“圖像上傳”“記憶體”等。

恐怕正確的解決方案將取決於您的網站的結構。

為什麼不發布更多資訊?

安德魯

引用自:https://serverfault.com/questions/196080