【发布时间】:2013-03-25 04:07:44
【问题描述】:
如何保护用户不上传 php 脚本?
我将以下代码放入 ( /uploads/ ) 文件夹的 .htaccess 中。
<Files ^(*.php|*.phps)>
order deny,allow
deny from all
</Files>
<FilesMatch "\.(php|pl|py|jsp|asp|htm|shtml|sh|cgi.+)$">
ForceType text/plain
</FilesMatch>
但我仍然可以上传 php 文件和 php 文件仍然是可执行的。我或代码有什么问题?
【问题讨论】:
-
您是担心上传文件还是只是访问它们? Apache 配置与您上传文件的能力无关。
-
将媒体文件列入白名单,然后使用 PHP 进行验证。
-
在服务器上上传时检查文件扩展名。与
.htaccess无关