پدرخوانده
جمعه 27 مرداد 1391, 02:31 صبح
جهت آپلود فایلها (تصاویر و فیلم و صوت و ...) مجبور به اعطای مجوز 777 به یک شاخه در سایت خود شده ام و در کنترل پنل سایت (بخش مدیریت سی ام اس) قابلیت آپلودی به مدیرسایت داده که فایلهای خود را از طریق آن آپلود کند
شنیده ام که به علت وجود مجوز نوشتن به این شاخه امکان هک و نفوذ از طریق این شاخه هست (البته مسئول هاست به بنده توضیح دادند که این برای گذشته بود که مثلا شخص از سرور همان سایت می تواند به شاخه شما در سایت شما سیم لینک زده و فایل آپلود کرده و سایت شما را هک کند و الان معمولا در اکثریت سرورها این قابلیت symlink غیرفعال هست)
علی ای حالا
سؤال بنده آن است که برای انجام این کار (آپلود فایلها (تصاویر، صوت و ...) ) به جز این روش (دادن مجوز نوشتن به یک شاخه خاص) از چه راهی می توان استفاده کرد؟
البته در حالت فعلی به هنگام آپلود توسط کد php (سمت سرور) کنترل می شود که چه فایلی (پسوند و نوع فایل) و چه حجم فایلی آپلود می گردد ولیکن جهت اطمینان بیشتر می خواستم با استفاده از قابلیتهای htaccess به صورت کلی (سوای سورس کد خودم) و بلکه از طریق هاست از آپلود برخی فایلها (و حتی در صورت آپلود فایل مربوطه از اجرای آن ) جلوگیری به عمل آید
کد مربوط به عدم اجرای اسکریپت در شاخه مربوطه
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI
ولیکن این کد فوق درست عمل نکرده و همچنان اطمینان نیست (البته این کد از بابت عدم اجرای برنامه ها با پسوندهای فوق الذکر هست ) و کد مربوطه جهت عدم آپلود (دریافت) فایل های متفرقه در شاخه مربوطه نیست
با تشکر
شنیده ام که به علت وجود مجوز نوشتن به این شاخه امکان هک و نفوذ از طریق این شاخه هست (البته مسئول هاست به بنده توضیح دادند که این برای گذشته بود که مثلا شخص از سرور همان سایت می تواند به شاخه شما در سایت شما سیم لینک زده و فایل آپلود کرده و سایت شما را هک کند و الان معمولا در اکثریت سرورها این قابلیت symlink غیرفعال هست)
علی ای حالا
سؤال بنده آن است که برای انجام این کار (آپلود فایلها (تصاویر، صوت و ...) ) به جز این روش (دادن مجوز نوشتن به یک شاخه خاص) از چه راهی می توان استفاده کرد؟
البته در حالت فعلی به هنگام آپلود توسط کد php (سمت سرور) کنترل می شود که چه فایلی (پسوند و نوع فایل) و چه حجم فایلی آپلود می گردد ولیکن جهت اطمینان بیشتر می خواستم با استفاده از قابلیتهای htaccess به صورت کلی (سوای سورس کد خودم) و بلکه از طریق هاست از آپلود برخی فایلها (و حتی در صورت آپلود فایل مربوطه از اجرای آن ) جلوگیری به عمل آید
کد مربوط به عدم اجرای اسکریپت در شاخه مربوطه
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI
ولیکن این کد فوق درست عمل نکرده و همچنان اطمینان نیست (البته این کد از بابت عدم اجرای برنامه ها با پسوندهای فوق الذکر هست ) و کد مربوطه جهت عدم آپلود (دریافت) فایل های متفرقه در شاخه مربوطه نیست
با تشکر