我正在开发一个允许用户上传自己内容的网站,他们基本上会得到一个目录和一个轻量级的文件管理器。
除了扩展和大小检查外,我应该使用哪些其他措施来保护服务器免受恶意上传的侵害?
我想到的第一件事就是禁用任何类型的服务器脚本。我该怎么做?我认为它将是父目录中的.htaccess,但我应该把它放在哪里?我知道扩展检查是不够的,因为隐藏在.jpg图像中的PHP代码将很乐意执行...
另外,阻止用户上传.htaccess是显而易见的。
使用PHP运行Apache2的服务器Linux。我无法访问php.ini。