状況:たとえば、画像をアップロードできるアップロードフォルダーがあります。 そして、彼女の権利は誰にでも明らかです。 そのため、一部のエンジンの所有者は、何らかの理由で(何らかの理由で)脆弱性を抱えているため、このフォルダーにアップロードされたスクリプトに出くわすことがあります。 そして、これは結果を伴う場合があります。
そこで、ファイルアップロード用のすべてのフォルダーに、.htaccessファイル(ない場合)を次の行で追加します。
RemoveHandler .php
AddType text/html .php
AddHandler server-parsed .php
これで、.htaccessディレクティブがサポートされている場合、ファイルがアップロードされても、それらは実行されません 。 ところで、拡張子は.phpだけでなく、他のもの、またはスペースで区切られたそれらのセットにすることができます。 この投稿では、拡張機能の置換、適切に構成されたアクセスの問題を省略し、非常にシンプルで高速で、重要な脆弱性を減らすための資格の低いユーザー向けソリューションが最も重要です。
psさらに、コードで画像アップロードを使用する必要がある場合、アップロードされたファイルを制限する標準的な手段に加えて、記録のために保存するだけでなく、GDライブラリによって転送されたPOSTから画像をロードし、上記のライブラリを使用してディスクに画像を保存すると言います何も保存しません。 たぶん妄想ですが、上記の.htaccessでは良い結果が得られます。