آپلود شل و جلوگیری از آن

آقا رضا حالا اگر دو تا باشه اشکال داره؟:متفکر:
تاپیک رو ادامه دهید.
شما هدفتون مگر آموزش نیست ؟ یکی از اصلی هایش زده .
ممنون میشیم ادامه دهید. :لبخندساده:

بسیار خوب است ادامه دهید

نقل قول:

---

برای اپلود هم بهترین روش اینه که فایل هارو توی پوشه ی قبل از public_html اپلود کنید و دسترسی مستقیم هم ندید.فایل حتما rename بشه

---

پوشه قبلشم بذارید بازم با دستورات لینوکس و اچ تی اکسس میشه بهشون دسترسی داشت ، --- حتی به سرور --- بازم از سایت دیگه ای در اون سرور میشه به سایت قربانی دسترسی پیدا کنیم . شما نباید بذارید هیچ شلی آپلود بشه .

نامشم عوض کنید با کراول و یه مقدار سر و کله زدن با آپلودر میشه نحوه کد دهیش رو پیدا کرد و براش یه (به قول برنامه نویسا ماژول اکسترنال نوشت و بهش اتک زد تا پیدا کنه :)

تنها روشش استفاده از توابع gd و مستقیما عکس رو نفرستیم به سرور ، تو صفحه اول گفتم .



طی یه سری مسائل امنیتی شخصی (علم کشی توی ایران) باز اومدم .


خداییش نیتم خیره و فقط جنبه محافظت از خودتون رو داره .
===========
خب دوستان مایلید ادامه بدم :لبخند:

نقل قول:

---

نوشته شده توسط رضا قربانی

پوشه قبلشم بذارید بازم با دستورات لینوکس و اچ تی اکسس میشه بهشون دسترسی داشت ، --- حتی به سرور --- بازم از سایت دیگه ای در اون سرور میشه به سایت قربانی دسترسی پیدا کنیم . شما نباید بذارید هیچ شلی آپلود بشه .

نامشم عوض کنید با کراول و یه مقدار سر و کله زدن با آپلودر میشه نحوه کد دهیش رو پیدا کرد و براش یه (به قول برنامه نویسا ماژول اکسترنال نوشت و بهش اتک زد تا پیدا کنه :)

تنها روشش استفاده از توابع gd و مستقیما عکس رو نفرستیم به سرور ، تو صفحه اول گفتم .



طی یه سری مسائل امنیتی شخصی (علم کشی توی ایران) باز اومدم .


خداییش نیتم خیره و فقط جنبه محافظت از خودتون رو داره .
===========
خب دوستان مایلید ادامه بدم :لبخند:

---

بعد از سال ها ....
اره ادامه بدین ...
و یه سوال که نمیدونم جواب داده شده یا نه چون یه مدت نبودم ... واسه فایل های غیر عکس چیکار کنیم ؟؟

اگه وبسرورتون آپاچی هست ، توی پوشه عکس ها یا فایلها که قرار نیست هیچ فایل پی اچ پی ران بشه یک فایل htaccess. میسازید با محتوای زیر

کد HTML:

---

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

---

دیگه شل های پی اچ پی اجرا نمیشن :)
البته در اصل نباید اصلا بذارید آپلود بشن اما اگر احیانا هم آپلود شدن دیگه اینجا میشه بن بستشون :)

خوب بود دمتون گرم ولی من که لازمه کاربر فایل php رو اپ کنه چی؟
چطوذ می شه کد های مخرب رو از بقیه کد ها جدا کرد
واسه فایل های زیپ و اونایی که واسه دانلوده ایا لینک غیر مستقیم جواب میده؟
ممنون

دوستان با توجه به اینکه تاریخ نوشته این مطالب برای خیلی وقت پیشه میخواستم بدونم الان در سال 2021
آیا روش جدید و بهتری برای جلوگیری 100 درصد از هک در php
ما یه اسکریپتی رو بیشتر از یک ساله داریم مینوسیم و این سایت دوتا قسمت اپلود تصاویر داره که برای امنیتش شاید هیچ کاری نکردیم
الان تکلیف چیه ؟ کدوم قسمتارو کار کنیم ؟ ایا قسمت اپلود تصاویر رو فقط با توابع جی دی انجام بدیم حله ؟ و دیگه جای دیگه ای تغییرات لازم نیست؟