Security

防止目錄中的腳本執行和文件下載?

  • August 10, 2016

我的網站上有一個目錄,用於儲存使用者上傳的文件。我對上傳的文件類型使用白名單,並使用散列名稱保存文件,但據我所知,另一個好的安全預防措施是停止目錄中的腳本執行。我還想防止直接訪問目錄中的文件,因為我不希望使用者能夠下載不屬於他們的文件。

我的伺服器執行帶有 Apache 的 Linux。以下 .htaccess 文件是否適合我想要實現的目標?

order deny,allow
deny from all
<FilesMatch .php>
   SetHandler None
</FilesMatch>

你正在尋找這樣的東西:

<Directory /path/to/dir>
   Order allow, deny
   Deny from all
   php_admin_flag engine off
</Directory>

前兩個指令OrderDeny(或2.22.4)應該禁止任何人通過 Apache 訪問該目錄(他們將收到 403 錯誤)。php_admin_flag關閉 mod_php,考慮到Deny from all.

另一種可能更好的方法是根本沒有您的 Web 根目錄下的目錄。

引用自:https://unix.stackexchange.com/questions/84546

相關問答

Security

通過 PHP 腳本限製文件寫入的範圍

  • March 15, 2017
檢視問答
Centos

最小化 PHP.CGI.Argument.Injection 並進一步強化 Centos 6.4 Web 伺服器

  • August 17, 2016
檢視問答
Security

如何配置我的伺服器以避免從其 HTTP 響應的 SERVER 標頭中洩漏資訊

  • August 7, 2016
檢視問答
Security

打開埠 80 但保持安全

  • May 13, 2016
檢視問答
Linux

apache 和 PHP 應該以什麼使用者身份執行?/var/www 文件應該有什麼權限?

  • May 13, 2016
檢視問答
Apache-Httpd

如何在 Raspbian 上更新 apache、mysql、phpmyadmin 和 php?

  • April 12, 2022
檢視問答