在我的项目中,允许用户上传任何类型的文件。我需要确保安全,防止执行可由 php 解析的上传文件(*.php、*.html 等)
有没有办法告诉apache不要在web/uploads中解析任何带有php的文件并简单地将它们显示为纯文本?还有什么其他选择?
将它们全部保存在同一文件夹下,并将此行设置在目录的.htaccess
file:
php_flag engine off
这也将解决其他漏洞,例如在 .gif 文件中嵌入 PHP 代码。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)