拒绝PHP脚本在某个文件夹中运行但仍然可以下载

时间:2013-07-02 12:22:33

标签: php windows iis-7 web-config fastcgi

我正在使用PHP和MySQL为我的网站用户设计内部邮件传递应用程序。 用户可以在其中附加图像和其他附件。

但是当用户将PHP脚本或html页面附加为附件时会出现问题。将直接URL提供给收件人会导致附加的脚本/页面在服务器上运行。

如果网站上有一些易受攻击的代码,那么反过来会很危险。

所以我想要的是:

  • 拒绝附件文件夹中的所有PHP脚本,.html和.exe文件在服务器上运行
  • 但是所有文件必须仍可下载并可在网站内查看为文本文件(对于.php,.html,.css,.js文件),方法是通过另一个文件夹中的另一个PHP脚本检查用户的授权
  • 总而言之,拒绝访问脚本而不是文件夹

    • 任何人都可以帮助我吗?我见过类似这样的问题:Disable PHP in directory (including all sub-directories) with .htaccess

    但这有点不同,因为它特别要求iis环境和web.config解决方案(如果可能)。但是其他人使用.htaccesshttpd.conf,这些iiswindows都无效{{1}}

    提前致谢。

    1 个答案:

    答案 0 :(得分:0)

    我认为最简单,最简单的方法就是简单地压缩所有上传的文件,然后将它们全部作为拉链提供,无论内容如何。

    你也可以用.htaccess文件完成一些事情,但是如果服务器软件发生了变化,你可能需要再次弄乱它以便再次使一切安全,而你不这样做,你就暴露了。

    相关问题
    最新问题