5
在我的项目中,用户可以上传任何类型的文件。我需要确保执行上传的文件,可以解析php(* .php,*。html等)的安全防止执行上传的php文件?
有没有办法告诉Apache不要用PHP解析任何文件在web/uploads和只需将它们显示为纯文本?什么是其他选项?
A
回答
11
让他们所有的同一个文件夹下,并设置该线在该目录中的文件.htaccess:
php_flag engine off
这也将照顾其他漏洞,如.gif文件中嵌入PHP代码。
+0
这工作。但是,如果该文件是* .php,则浏览器尝试下载文件。在这种情况下,我怎样才能得到“Content-Type \t text/plain”标题? – Dziamid 2011-05-04 15:28:37
+1
@Dziamid:我自己并没有尝试过,但我相信'AddType text/plain .php'应该可以做到。 – Kaivosukeltaja 2011-05-04 18:36:19
0
为什么不直接将文件扩展名重命名为.phps?
为了澄清PHPS是一个PHP文件的源代码视图:
澄清:
file.php =>file.phps
快速谷歌例如:
2
你想在Apache SetHandler指令:http://httpd.apache.org/docs/current/mod/core.html#sethandler
这可以强制目录中的所有文件,通过一定的处理程序进行处理。所以沿线的东西:
<Location /web/uploads>
SetHandler None
</Location>
应该做你想做的。
相关问题
- 1. PHP文件上传和防止重复
- 2. 如何防止php上传文件:
- 3. 防止上传shell文件。 php
- 4. PHP防止上传文件的种类,删除上传文件中的空格
- 5. PHP POST和执行大文件上传
- 6. 防止执行
- 7. 防止执行PHPUnit引导文件
- 8. 防止使用ng文件上传来上传JavaScript文件
- 9. 循环依赖防止文件上传
- 10. 防止exe文件在网站上传
- 11. 防止损坏的可执行文件在OS X上启动
- 12. 如何防止大型Apache/PHP文件上传失败?
- 13. 如何防止PHP上传脚本覆盖现有文件?
- 14. 防止JavaScript执行
- 15. 防止从执行
- 16. 防止从执行
- 17. 防止双重执行PHP + JS
- 18. 防止双击代码执行在PHP
- 19. 如何防止在$ PATH上查找可执行文件?
- 20. 防止PHP文件下载
- 21. PHP文件下载防止
- 22. 如何防止站点上的PHP代码执行漏洞
- 23. HTML防止重定向上传php
- 24. 如何防止使用Amazon S3进行双重文件上传?
- 25. 防止laravel link_to_action在双击上执行
- 26. PHP文件包括停止执行
- 27. 在php中停止执行exe文件
- 28. Htaccess mod_rewrite阻止执行php文件
- 29. 通过php使用ftp细节上传php文件正在执行php,而不是上传原始php文件
- 30. 防止跨站点文件上传到我的服务器上?
如果你想让它们只显示为纯文本文件,为什么不在上传时将它们重命名为filename.txt?或者,如果你正在寻找'保留原来的扩展名,filename.php.txt。这将不会被执行,将被视为一个文本文件。 – 2011-05-04 15:13:50
如果客户想下载文件并在他的机器上执行文件,这会增加客户端的一些开销。如果您隐藏了扩展名,只需在Windows上对其进行成像即可。 =) – Dziamid 2011-05-04 15:32:21