безопасность — Какие файлы ограничить в скрипте загрузки PHP?
Я написал простой скрипт загрузки в PHP, чтобы позволить пользователям загружать файлы. В их папке загрузки я поместил файл .htaccess, который имеет одну строку:
Deny From All
Очевидно, я буду ограничивать пользователей от загрузки .htaccess а также php.ini, Я не хочу ограничивать больше файлов, чем необходимо, и.htaccess Файлы должны защищать от вредоносных файлов PHP или JavaScript. Какие другие файлы мне нужно ограничить, чтобы быть на 100% уверенным, что я не оставляю никаких уязвимостей в моем сценарии загрузки?
Решение
Я думаю, что .php было бы хорошим началом. В дополнение к этому не забудьте проверить тип файла с mime_content_type,
Другие решения
Я решил сделать простое переименование.
$file = "zzz".$file;
Позже zzz можно удалить перед обработкой файлов. Теперь мне даже не нужно ограничивать .htaccess или же php.ini от загрузки.