我正在创建一个与dropbox非常相似的Web应用程序。但是不是将文件保存到数据库,而是将其保存到某个文件夹中。
例如,当用户注册时,会创建带有用户名的文件夹。在该文件夹中保存所有文本文件。
现在,在创建文件时,用户可以使用他们想要的任何扩展名,它将保存。所以从技术上讲,有人可以编写php脚本,甚至是某种基于unix的破坏服务器,它将被保存在他们想要的扩展名中(.php,.bat等等)。
我想到的只是加密文本然后将其保存为加密文件。这样就可以保护用户数据,我希望脚本无法执行。我想听听你的想法如何让它变得更好,这对我和用户来说是否足够安全。
仅当用户打开加密文本时,才使用javascript解密加密文本。这样,即使是我,访问文件也无法真正了解其中的内容,因为我没有加密密钥。
答案 0 :(得分:2)
公钥和私钥。
服务器上传的所有文件,无论类型如何,都应使用公钥通过服务器端加密进行加密 - 绝不相信浏览器/用户加密。
然后,所有文件都应该设置严格的权限,以便不能直接访问甚至执行它们。 CHMOD如600。
最后,在下载时,用户可以使用私钥解密内容。
答案 1 :(得分:-1)
也许您可以删除执行chmod -R -x人员上传的所有文件的权利?