禁止文件类型(shell 脚本 wordpress 安全)

禁止文件类型(shell 脚本 wordpress 安全)

我们最近将服务器迁移到了 SVN,这很棒,但在使用 WP Filebase 等 CMS 文件管理工具时,这会导致很多问题。同时很难保持上传文件夹同步,因此我们想关闭某些目录的 SVN。这让我想到了手头的问题:

如果我们在某些目录中禁止某种文件类型 (php),而有人上传了伪装成 .jpg 或其他文件类型的 shell 脚本,该脚本会自行解压到 .php 文件中,那么该文件实际上会解压吗?还是会解压但不会执行?我不确定文件夹安全/权限选项在此级别如何工作。

目前正在使用 IIS,但很快可能会转移到 Linux 机器。

答案1

服务器不应该使用 PHP 执行“.jpg”文件,因为内容类型是通过 IIS 中的文件扩展名映射的,因此它无法“自行解压”。

因此默认情况下,它只会提供带有 mime 标头“image/jpeg”的 .jpg 文件的原始内容,而您的浏览器将会抱怨它无法呈现图像。

相关内容