Permissions

如何保護開放期刊系統原始送出文件

  • March 23, 2014

我已經在自己的​​伺服器上安裝了ojs 。在安裝過程中,需要創建一個php可寫的文件夾(apache = www-data),但不能從瀏覽器訪問。該文件夾用於保存上傳的稿件,不得向公眾展示,但必須可由軟體本身讀取。我更改了 httpd.conf 文件以拒絕列出文件夾中的文件,但問題似乎並沒有完全解決。事實上,雖然文件名是隨機的,但如果惡意或好奇的使用者知道原稿的確切文件名,她/他可以下載該文件。請注意,我的伺服器(ubuntu 12.04.4)中現在有很多這樣的手稿。有什麼辦法可以拒絕他們下載(至少對於未註冊為編輯的未經授權的使用者)?

自述文件告訴你該怎麼做。相關部分:

   * Install OJS so that the files directory is NOT a subdirectory of
     the OJS installation and cannot be accessed directly via the web
     server. 

   3. Create a directory to store uploaded files (submission files, etc.)
      and make this directory writeable. It is recommended that this
      directory be placed in a non-web-accessible location (or otherwise
      protected from direct access, such as via .htaccess rules).

這意味著您用於上傳的文件目錄不應位於DocumentRoot. 當然,config.inc.php如果您已經完成安裝,則必須指定其位置。

[files]

; Complete path to directory to store uploaded files
; (This directory should not be directly web-accessible)
; Windows users should use forward slashes
files_dir = files

引用自:https://serverfault.com/questions/584023