我有一个附带项目,用户将上传包含html代码的zip文件。这大部分都经过了消毒(只有顾客才能这样做),但它仍然让我处于"高度戒备模式"。客户唯一可以上传的是html/二进制/javascript文件(因此是html、htm、js、gif、png、jpeg、swf)。我更希望这些上传到一个只支持html代码的网络服务器上。
这是我的思考过程
步骤1:用户通过php上传zip
第2步:PHP提取zip文件到Web服务器中的"HTML only land"
步骤3:然后审查/批准文件夹
步骤4:客户端从上传接收url
我怎样才能最好地完成第2步?如果我在运行apache,我可以说"文件夹x不能运行任何php代码或可执行文件"吗?假设我创建了一个名为/var/www/dangerdanger的文件夹,我应该对"dangerdang"应用什么样的限制,使其不允许执行任何代码?
重申一下,我不是在寻求保护,不受"肮脏的未洗群众"的伤害,这些人将是客户。当然,其他人可能会窃取客户登录信息,或者愤怒的员工可能会试图做一些无益的事情。这就是为什么我需要一定程度的服务器端安全性。
如有任何帮助,将不胜感激
只需使用.htaccess即可删除对该文件夹中代码文件的处理。这可以使用:
RemoveHandler .php
您可能需要检查您的服务器可以运行什么,并为每种可能的Web服务器语言重复这一行。显然,可能还有其他事情,但HTACCESS将是禁用特定文件夹中不需要的功能的方法。
注意:您可能需要获得一个确定的服务器才能执行此操作。我认为AddHandler和RemoveHandler通常不会被允许在共享/经销商主机上