L'esecuzione di script PHP su estensioni di file di documenti HTML è un problema di sicurezza?

Naviga le tue risposte
6

Sto lavorando su un sito molto vecchio e disordinato, che non ha un CMS o un database. Tuttavia, contiene molti file .htm e .php . Ho bisogno di aggiungere del codice PHP ad alcuni dei file .htm , ma voglio lasciare l'URL così com'è.

Per farla breve, ci sono problemi o problemi di sicurezza quando si abilita l'esecuzione di script PHP per .htm di file globalmente, tramite .htaccess di Apache?

Cosa potrebbe andare storto? Nello specifico, sto parlando di questo cambiamento di configurazione nel mio server web Apache: 

AddType application/x-httpd-php .html .htm
    
posta user1721135 04.06.2013 - 21:39
fonte

1 risposta

7

In generale, configurare PHP per eseguire tutti i file (come dice il titolo) è una cattiva idea, soprattutto se il tuo sito web ha una funzionalità di caricamento. Qualcuno potrebbe semplicemente caricare un file PHP con l'estensione .jpg e poi eseguirlo sul tuo server, e il tuo server è sparito.

Tuttavia, nel tuo caso, se gli utenti non possono caricare .html o .htm file (o .php , ovviamente), allora non c'è quasi nessun rischio per la sicurezza aggiunto.

    
risposta data 04.06.2013 - 21:55
fonte

Leggi altre domande sui tag

Esistono noti attacchi Heartbleed? Suggerimenti per evitare il dirottamento dei cookie in un'applicazione web