Вот список расширений, которые мы склонны блокировать в нашей системе загрузки файлов php.
1-ый вам лучше всего сохранить файлы в ни одной доступной папке таким образом, чтобы никто не мог загружать загруженные файлы, а затем выполнять загрузку каждого файла, так что он не может быть открыт.
Расширения список: летучей ехе CMD ш PHP пл CGI длл ком торрент JS приложения баночки PIF В.Б VBScript WSF жереха CER ксо jsp drv SYS ADE в.с.ц. барельефа CHM компл элт CSH FXP HLP HTA инф модули исп ЙФБ Htaccess Htpasswd КШ LNK MDB MDE MDT ОМП ЦКМ MSI msp mst ОПС PCD PRG рег экр SCT SHB SHS URL VBE VBS WSC WSF WSH
Кроме того, здесь есть регулярное выражение Javascript вышеперечисленное:
/(\.|\/)(bat|exe|cmd|sh|php([0-9])?|pl|cgi|386|dll|com|torrent|js|app|jar|pif|vb|vbscript|wsf|asp|cer|csr|jsp|drv|sys|ade|adp|bas|chm|cpl|crt|csh|fxp|hlp|hta|inf|ins|isp|jse|htaccess|htpasswd|ksh|lnk|mdb|mde|mdt|mdw|msc|msi|msp|mst|ops|pcd|prg|reg|scr|sct|shb|shs|url|vbe|vbs|wsc|wsf|wsh)$/i
Вы хотите возможность размещения каждого типа файла, но затем запретить загрузку файлов .php? Вы действительно хотите предотвратить выполнение файлов .php? –
Ну, в основном. Я не хочу, чтобы на сервере был запущен какой-либо вредоносный код. – 2010-08-28 23:05:14
, если плохой парень может каким-то образом заставить ваш сервер выполнять произвольный загруженный файл - вы думаете, что они назовут файл чем-то другим, кроме php, чтобы остановить их? –