对于实时在线锦标赛,我上传了一堆由我们的锦标赛软件生成的html页面。在网络服务器上,我使用这些文件来完成所需的操作。所以锦标赛软件已“整合”在我们的网站上。
现在我们希望其他人运行这些锦标赛,然后他们必须上传这些生成的html / css文件。通过http上传它真的是太多的工作需要花费太多时间。
我想创建另一个只访问锦标赛目录的ftp帐户。到目前为止一切都很好。
但是,我想限制上传文件类型只是为了html和css文件,所以他们只能通过ftp上传静态内容(我只是偏执狂,我不希望他们可以上传带有可能危险代码的php文件或其他不可预见的文件类型)
这可能吗?
答案 0 :(得分:2)
文件只是字节序列,扩展名无关,危险就是你读它们的方式。您必须将上载的文件设置为不可执行且安全。即使您设置.css文件以某种方式上传,您也无法通过扩展来检查它是否安全,攻击者可能已经手动更改了扩展名。此外,如果您指定Apache不知道的上传文件夹,即不在您的www文件夹下面,则上传PHP文件不会有问题。