我注意到服务器上的一个巨大错误,该错误允许上传任何文件(包括* .php),然后执行它!它是可怕的!我不知道应该阻止上载* .php文件还是禁用它们在php.ini中的执行(我不知道该怎么做)
答案 0 :(得分:0)
如果使用Apache服务器,请尝试将包含字符串php_flag engine off
的目标目录文件.htaccess放入。这将阻止该目录和所有子目录的任何文件作为php脚本执行。另外,禁止上传文件名以“。”开头的任何文件。
答案 1 :(得分:0)
您可以将上传的文件放在网络根目录之外。
此外,您可以将IIS设置为拒绝上传PHP文件:IIS 8.5 deny PHP upload
此外,您可以设置上传文件夹的权限以禁止执行其中的文件。
此外,您可以检查要上传的文件的类型:http://php.net/manual/ro/function.mime-content-type.php
您还可以将权限设置为读/写,但不能执行。