我正在尝试弄清楚应该使用哪种方法来控制脚本/文件执行安全性。
我正在尝试防止恶意文件上传/执行漏洞,用户可能会上传一些恶意内容,然后在我的网站上执行它。
防止这种情况发生的最佳方法是什么?我只希望某些文件能够执行。
我是否应该考虑采用白名单(仅允许目录中的文件)或黑名单(基于文件扩展名)方法?
谢谢!
答案1
您需要发布更多详细信息。
当使用 Nginx 来管理 Zend Framework 网站时,我会将 index.php 列入白名单,并将 404 提供给任何其他 .php 文件。这对于 ZF 来说没问题,因为您只需调用 bootstrap,它会处理所有其他调用。
当处理主要是静态的站点时,我将我知道存在的少数 PHP 文件(例如,联系表单上的表单处理)列入了白名单。
在不使用引导文件的较大网站上,我已将 Apache 进程可写入的目录中的任何 PHP 文件列入黑名单,例如“image-uploads”、“cache”等。
恐怕正确的解决方案取决于您的网站的结构。
为什么不发布更多信息?
安德鲁