Come sappiamo, il caricamento di file eseguibili non è sicuro. Ma se cambiamo l'estensione del file exe in txt, il file viene caricato. Come prevenire questo ??
Puoi non bloccare il caricamento di file eseguibili. È così, non c'è modo di aggirarlo . Tuttavia, puoi cambiare il modo in cui pensi ai file caricati.
La prima cosa che devi fare è sapere dove i tuoi utenti caricano i file, quindi bloccare quella directory. Se utilizzi Apache, puoi impedire che chieda di eseguire i file in una determinata directory aggiungendo quanto segue al tuo http.conf
.
<Directory "/var/www/my-upload-dir">
AllowOverride None
Options -ExecCGI
</Directory>
Altre cose che puoi fare includono l'uso di nomi casuali per i file una volta caricati, solo per servire i file tramite uno script proxy e per archiviare i file sopra la root dei documenti.
Infine, una cosa molto importante è mai include
, use
o import
di qualsiasi file caricato dall'utente.
Leggi altre domande sui tag file-upload