FTP 上传：可以仅限制静态内容

Question

对于实时在线锦标赛，我上传了一堆由我们的锦标赛软件生成的 html 页面。在网络服务器上，我用这些文件做需要做的事情。所以锦标赛软件被“集成”在我们的网站中。

现在我们希望其他人运行这些锦标赛，然后他们必须上传这些生成的 html/css 文件。通过http上传真的是太费时间了。

我想创建另一个只能访问锦标赛目录的 ftp 帐户。到目前为止一切顺利。

但是，我想将上传文件类型限制为 html 和 css 文件，因此他们只能通过 ftp 上传静态内容（我只是偏执，我不希望他们可以上传带有可能危险代码或其他意外代码的 php 文件文件类型）

这可能吗？

Answer 1

文件只是字节序列，与扩展无关，危险在于您阅读它们的方式。您必须将上传的文件设置为不可执行并且您是安全的。即使您将.css文件设置为以某种方式上传，您也无法仅通过扩展名检查它是否安全，攻击者可能已经手动更改了扩展名。此外，如果您指定 Apache 不知道的上传文件夹（即不在您的 www 文件夹下方），上传 PHP 文件也不会出现问题。