PDA

View Full Version : جلوگیر از عمل کردن کدهای php


masiha68
پنج شنبه 22 خرداد 1393, 19:49 عصر
سلام
من واسه اینکه کدهای php تو یه فولدر کار نکنه این کد htcaccess رو توی اون پوشه گذاشتم ولی می بینم حتی فایل های عکس هم نشون داده نمی شن

RemoveHandler .php .phtml .php3RemoveType .php .phtml .php3php_flag engine off

چندتا سوال در مورد جلوگیری از اپلود شل : یکی اینکه وقتی یه فایل اپلود میشه اگه اون فایل رو با یه اسم رندم سیو کنیم چقد می تونه جلوی اینکه از شل اپلود شده استفاده بشه بگیره
دوم اینکه این کدهای htcaccess چقد امنیت داره و ایا میشه دورش زد ؟
سوال دیگه اینکه واسه عکس میشه از کتابخونه های gd استفاده کرد ولی واسه زیپ و بقیه فایل ها چی ؟ راهکار چیه
یه موضوعی هم که یجا خوندم ولی در مورد صحتش اطمینان ندارم اینه که نوشته بودن اگه توی اسم فایل پسوند php باشه و اون فایل فراخوانی بشه کدهای توی فایل اجرا میشه ...این درسته ...یعنی فرض کنیم هکر میاد یه فایل رو تغییر اسم میده و پسوندش رو زیپ می کنه ولی در اصل فایل پی اچ پیه ایا این فایل داخل هاست به صورت فایل پی اچ پی اجرا میشه !؟
omidabedi
پنج شنبه 22 خرداد 1393, 20:23 عصر
سلام
من واسه اینکه کدهای php تو یه فولدر کار نکنه این کد htcaccess رو توی اون پوشه گذاشتم ولی می بینم حتی فایل های عکس هم نشون داده نمی شن

RemoveHandler .php .phtml .php3RemoveType .php .phtml .php3php_flag engine off

چندتا سوال در مورد جلوگیری از اپلود شل : یکی اینکه وقتی یه فایل اپلود میشه اگه اون فایل رو با یه اسم رندم سیو کنیم چقد می تونه جلوی اینکه از شل اپلود شده استفاده بشه بگیره
دوم اینکه این کدهای htcaccess چقد امنیت داره و ایا میشه دورش زد ؟
سوال دیگه اینکه واسه عکس میشه از کتابخونه های gd استفاده کرد ولی واسه زیپ و بقیه فایل ها چی ؟ راهکار چیه
یه موضوعی هم که یجا خوندم ولی در مورد صحتش اطمینان ندارم اینه که نوشته بودن اگه توی اسم فایل پسوند php باشه و اون فایل فراخوانی بشه کدهای توی فایل اجرا میشه ...این درسته ...یعنی فرض کنیم هکر میاد یه فایل رو تغییر اسم میده و پسوندش رو زیپ می کنه ولی در اصل فایل پی اچ پیه ایا این فایل داخل هاست به صورت فایل پی اچ پی اجرا میشه !؟

در مورد اشکال فایل htaccess نمیدونم

اما در مورد سوال هات

وقتی شلی اپلود میشه برای اجراش نیاز هست که با نامش فراخوانی بشه و بسته به کارائی سایتت و فرم اپلودت تغییر نام میتونه تا حد مناسبی از فراخوانی فایل جلوگیری کنه و از طرفی بر میگرده به نحوه ی تغییر نامت

کدهای htaccess امنیت خوبی داره در صورتی که اپلودرت هم امنیتش بالا باشه به این صورت که هکر خودش نتونه یک فایل htaccess اپلود کنه!

برای فایل های زیپ و کلا هرچیزی بهترین کار اینه که بالاتر از پوشه ی public_html اپلود بشن که دسترسی فقط از خود برنامه هات باشن

و برای سوال اخرت بر میگرده به باگ های وب سرور یا شایدم قابلیت (اما خب هرچیز خوبی میشه تو مسیر نادرستم ازش استفاده کرد)

مثلا یه باگ مشابه این بود که فایل gif با کد php اپلود میکردی و کد php اجرا میشد که الان این باگ توی 99% سرورها patch شده
masiha68
پنج شنبه 22 خرداد 1393, 20:26 عصر
ممنون
فقط در مورد اون کد htcaccess چرا عکس ها نشون نمیده ... چون من فقط فایل های پی اچ پی رو غیر فعال کردم