Форумы портала PHP.SU :: Версия для печати

Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Защита директории upload

Форумы портала PHP.SU » » Вопросы новичков » Защита директории upload

Страниц (1): [1]

1. Tox - 04 Августа, 2012 - 10:58:43 - перейти к сообщению

Таких статей на хабре много, даже очень много. Суть ясна, проверяем все, что загружаем, еще раз проверяем, модифицируем по-своему, и запрещаем выполнение скриптов через родной .htaccess.
Я хотел просто поинтересоваться, такой

CODE (htmlphp):
скопировать код в буфер обмена

php_flag engine 0
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

.htaccess нормален для такой задачи? Или есть еще что-то "по-жестче"?

2. EuGen - 04 Августа, 2012 - 12:45:42 - перейти к сообщению

Tox
Нормальная практика - не загружать файлы пользователя в каталог, доступный веб-серверу.

3. Tox - 04 Августа, 2012 - 13:11:02 - перейти к сообщению

А тогда в какой же каталог загружать, если все каталоги находятся на веб-сервере? Символьной ссылкой в home?

4. Toxa - 04 Августа, 2012 - 13:16:19 - перейти к сообщению

Евген имел ввиду, что не надо загружать файлы пользователя в папку, из которой выполняются скрипты. Прочитайте еще раз первый абзац вашей статьи с хабра.

5. EuGen - 04 Августа, 2012 - 13:17:50 - перейти к сообщению

Tox
Никаких символических ссылок. Загрузить Вы можете в любой каталог, даже если он не принадлежит подкаталогу корня веб-сервера. А отдавать файл будете скриптом. Как отдать - здесь

6. Tox - 04 Августа, 2012 - 13:24:36 - перейти к сообщению

EuGen
Спасибо, понял