Как обрабатывать загрузку файлов .php без возможности их выполнения?

Question

Я хочу разрешить моим пользователям загружать файлы .php на сервер, но также хочу, чтобы файлы были безвредны для моего приложения.

Любые предложения?

спасибо.

Answer 1

Я рекомендую «отключить выполнение сценария в дате загрузки каталога» подход. Это единственное решение, абсолютно безопасное.

Просто добавьте это правило в .htaccess файл внутри каталога загрузки:

php_value engine off 

Answer 2

Просто не выполняйте их, этого достаточно.

Убедитесь, что ваше приложение не запускается и не включает загруженные пользователем файлы в любой момент (например, с помощью параметра GET до include файла без каких-либо санитарных условий).

Также убедитесь, что загруженные файлы недоступны снаружи с расширением .php.

В нормальном, частично обработанном правильно закодированном рабочем процессе загруженные .php-файлы не представляют угрозу безопасности независимо от того, какой код они содержат.

Answer 3

Вариант 1: Сохраните их с другим именем файла и сохраните исходное имя файла как часть метаданных, например. в таблице базы данных.

Вариант 2: Отключить выполнение сценария в каталоге uploads.

Вариант 3: Переименовать их .phps (общепринятое расширение для отображения необработанного PHP)

Answer 4

Несколько решений:

• Переименуйте их .phps
• Отключить выполнение PHP в загрузке каталог в вашей конфигурации веб-сервера

Answer 5

Сделать каталог загрузки раздельный, только для записи и невидимый из Интернета (это предотвратит их доступ к их собственному скрипту после загрузки).

Затем вы можете модерировать новые скрипты и выполнять, как вы сочтете нужным.