0

我正在使用 PHP 和 MySQL 为我的网站用户设计内部邮件传递应用程序。用户可以在其中附加图像等附件。

但是当用户将 PHP 脚本或 html 页面作为附件附加时会出现问题。将直接 url 提供给收件人会导致附加的脚本/页面在服务器上运行。

如果网站有一些易受攻击的代码,这反过来又很危险。

所以我想要的是:

  • 拒绝附件文件夹中的所有 PHP 脚本、.html 和 .exe 文件在服务器上运行
  • 但是,通过检查位于另一个文件夹中的另一个 PHP 脚本对用户的授权,所有文件仍然可以作为文本文件(对于 .php、.html、.css、.js 文件)在网站内下载和查看
  • 总而言之拒绝访问脚本但不是文件夹
  • 任何人都可以帮助我吗?我见过类似这样的问题:Disable PHP in directory (including all sub-directories) with .htaccess

    但这与它不同,因为它特别要求iis环境和web.config解决方案(如果可能)。但其他人使用.htaccess或两者都httpd.conf不起作用iiswindows

    提前致谢。

    4

    1 回答 1

    0

    我认为最快和最简单的方法是简单地压缩所有上传的文件,然后将它们全部作为 zip 提供,无论内容如何。

    您还可以使用 .htaccess 文件完成一些工作,但如果服务器软件发生更改,您可能需要再次对其进行处理以确保一切再次安全,而如果您不这样做,您就会暴露在外。

    于 2013-07-02T14:10:06.187 回答