我试图找出我应该使用哪种方法来控制脚本/文件执行的安全性。
我试图防止恶意file upload/执行漏洞,用户可能会上传不好的东西,然后在我的网站上执行它。
防止这种情况的最好方法是什么? 我只想要某些文件能够执行。
我应该考虑采取一个白名单(只允许我的文件在目录中)或黑名单(基于文件扩展名)的方法?
谢谢!
你需要发布一些更多的细节。
当使用Nginx的Zend框架网站,我会白名单index.php和404服务于任何其他。PHP的文件。 这对于ZF来说很好,因为你只需要调用bootstrap,它就可以处理所有其他的调用。
在使用主要是静态的网站时,我列出了一些我知道在那里的less量PHP文件(例如在联系表单上处理表单)。
在没有使用引导文件的大型网站上,我列出了Apache进程可写的目录中的任何PHP文件,例如“image-uploads”,“cache”等。
恐怕正确的解决scheme将取决于您的网站的结构。
为什么不发布一些更多的信息?
安德鲁