如果 htaccess 不允许浏览文件夹,将文档存储在 public_html 下是否安全?

【问题标题】:Is it safe to store documents under public_html if htaccess doesn't allow browsing folders?如果 htaccess 不允许浏览文件夹,将文档存储在 public_html 下是否安全?
【发布时间】:2019-03-20 15:43:22
【问题描述】:

我了解通常建议将用户上传的文件等文档存储在 Web 根目录下。但是,如果文档存储在 public_html 中的文件夹中,并且 htaccess 设置为阻止浏览文件夹,并且上传文件的文件名是随机生成的长字符串,那么无论如何,有人如何能够在未经许可的情况下访问该文件?

【问题讨论】:

  • 您是否从任何公开页面链接到他们?蛮力也是一回事。
  • 它们只链接到登录用户可以访问的页面
  • 如果您想绝对确保只有登录用户可以访问这些文件,您还需要对这些文件的任何请求进行权限检查。否则,您只会遇到这些文件可能不容易被发现的情况,但绝对不能保证。
  • 唯一的问题是我使用 Google Docs 来预览嵌入在某些页面上的某些文档,而 Google Docs 需要某种公共 url 到文档

标签: php .htaccess security document


【解决方案1】:

是的,如果网络服务器不允许通过配置进行公共访问,那么没有人可以访问这些文件。但是,不允许通过配置访问比根本不存在的文件更脆弱。粗心的管理员总是会错误地配置服务器并突然允许访问这些文件,如果您一开始就将文件保留在 webroot 之外,这根本就不是问题。也许您还有一个次要漏洞,其中有人可能会更改您的 .htaccess 文件,从而允许他们通过后门进入。同样,如果文件根本不存在,这不是问题。

【讨论】:

    猜你喜欢
    • 2018-06-29
    • 1970-01-01
    • 2021-08-07
    • 2011-06-15
    • 2020-09-08
    • 2013-11-07
    • 2010-10-08
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode