Я написал простой скрипт загрузки в PHP, чтобы позволить пользователям загружать файлы. В их папке загрузки я поместил файл .htaccess, который имеет одну строку:
Deny From All
Очевидно, я буду ограничивать пользователей от загрузки .htaccess
а также php.ini
, Я не хочу ограничивать больше файлов, чем необходимо, и.htaccess
Файлы должны защищать от вредоносных файлов PHP или JavaScript. Какие другие файлы мне нужно ограничить, чтобы быть на 100% уверенным, что я не оставляю никаких уязвимостей в моем сценарии загрузки?
Я думаю, что .php было бы хорошим началом. В дополнение к этому не забудьте проверить тип файла с mime_content_type
,
Я решил сделать простое переименование.
$file = "zzz".$file;
Позже zzz можно удалить перед обработкой файлов. Теперь мне даже не нужно ограничивать .htaccess
или же php.ini
от загрузки.