PTT數位生活區 / PHP

[請益] 上傳檔案的安全性

看板PHP作者 (白夜行)時間16年前 (2009/05/08 10:10), 編輯推噓6(6018)
留言24則, 10人參與, 最新討論串1/2 (看更多)
我有個問題想了很久,不知道這邊有沒有人可以幫我回答? 我最近要做一個檔案上傳的功能,我目前是用FORM的file去傳 傳的時候是有順利完成,不過我又想到一個問題 就是如果使用者上傳PHP檔、執行檔甚至病毒的話,會不會造成整個SERVER掛掉.... 我上網找好像說可以把資料夾設成不執行php,不過不知要從哪邊設定,有人能跟我說嗎? 而執行檔跟病毒的話,又要怎麼去預防呢? 請各位指點,謝謝 PS.我的SERVER是WINDOWS+APPSERV -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.117.152.156
05/08 10:41, , 1F
你可以限制上傳的副檔名,就不會有此問題了
05/08 10:41, 1F
05/08 11:17, , 2F
上傳執行檔只要不執行就不會有事!...最怕的是上傳php
05/08 11:17, 2F
05/08 11:17, , 3F
檔...我們老師有經歷過...說一個系統給學生交php的作
05/08 11:17, 3F
05/08 11:17, , 4F
業...上傳後執行內容是把所有學生的作業全部刪除...
05/08 11:17, 4F
05/08 11:18, , 5F
如此這般的作業就不知取向了OTZ
05/08 11:18, 5F
05/08 11:19, , 6F
那位學生寫的那個刪作業的程式...連自身的檔案也一併
05/08 11:19, 6F
05/08 11:20, , 7F
刪除!!...老師也不知從何抓起!
05/08 11:20, 7F
05/08 11:22, , 8F
是不是儲存檔案的位置放在appserv的www以外的資料夾
05/08 11:22, 8F
05/08 11:22, , 9F
執行檔就沒辦法執行了呢?
05/08 11:22, 9F
05/08 11:23, , 10F
還是必須用其他方式去擋呢?
05/08 11:23, 10F
05/08 11:35, , 11F
限定副檔名 限定大小
05/08 11:35, 11F
05/08 13:30, , 12F
上傳檔案,當然最好是傳到 php 無法執行的地方
05/08 13:30, 12F
05/08 13:30, , 13F
然後 web 也存取不到的地方,我想這是最安全的
05/08 13:30, 13F
05/08 13:54, , 14F
對阿帕契不是很熟,server中www以外的資料夾web能存
05/08 13:54, 14F
05/08 13:55, , 15F
取嗎?還是一定要網路磁碟把檔案傳到另一台主機呢?
05/08 13:55, 15F
05/08 16:35, , 16F
apache httpd.conf Directory中可設定
05/08 16:35, 16F
05/08 16:36, , 17F
其中的 Options 的 ExecCGI 拿掉就可以不執行
05/08 16:36, 17F
05/08 16:42, , 18F
去試了一下好像對php無效XDXD....
05/08 16:42, 18F
05/08 16:44, , 19F
亦或是直接該資料夾Deny from all XD?
05/08 16:44, 19F
05/08 22:33, , 20F
Chapter 39. Handling file uploads <== 讀一下吧!
05/08 22:33, 20F
05/09 00:39, , 21F
想到一個很爛的方法, 把所有upload上來的東西gzip掉.
05/09 00:39, 21F
05/11 16:18, , 22F
用header送出強制下載就行了
05/11 16:18, 22F
05/12 12:01, , 23F
linux + 權限控管
05/12 12:01, 23F
06/05 09:44, , 24F
不知道改副檔名這個方法如何? 把上傳檔案自動加入.xx
06/05 09:44, 24F
更多 TERRYB 的文章
文章代碼(AID): #1A0vIfN_ (PHP)
討論串 (同標題文章)
以下文章回應了本文
完整討論串 (本文為第 1 之 2 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共2篇)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 TERRYB 的文章
文章代碼(AID): #1A0vIfN_ (PHP)