pentru că tema este arhivă.
Un subiect batut, desigur. dar, totuși, aș dori să clarific:
Soluția principală sugerată este de a pune în folderul .htaccess și de a interzice executarea de scripturi acolo:
RemoveHandler .php .php3 .php4 .php5 .php6.html cgi pl phps shtml py
Adaugă text text / html .php .php3 .php4 .php5 .php6 .phtml cgi pl phps shtml py
Dar după ce toate script-ul php pot fi ascunse în metadatele fișierului imagine. Sau chiar ce extensie nu este luată în considerare, care poate juca o glumă crudă pe server. Cum de a proteja un folder în care utilizatorii pot descărca fișiere cu orice extensii din execuția oricărui script? Punerea dreptului 644 nu este o opțiune, deoarece imaginile din acesta nu sunt afișate ¶
în imagine lăsați-i să se ascundă, imaginea nu este procesată de server ¶
Iată o imagine script script cu codul php, care va fi executat pe server:
ceva îmi spune că setarea este greșită! deoarece, în funcție de EXTINDEREA fișierului, serverul decide ce să facă - procesează-l sau îl dă înapoi imediat ¶
php_flag motor 0 ¶
Deci chiar și codul cusut în imagini nu se întâmplă?
Există pericolul de a rula alte scenarii cu o configurație standard a serverului? ¶
Nu se întâmplă, în general, taie motorul =)
Încă aici nu strică:
Opțiuni + FollowSymlinks -Indexes
#
accesul refuzat la fișiere începe cu "."
#
Ordinul permite, respinge
Negi de la toate
# refuza accesul la fișierele .htaccess, dacă root-ul documentului Apache
# concurneaza cu unul din nginx
#
locație
Trimiteți-le prietenilor: