جلوگیری از اجرا شدن php

foranyone

Well-Known Member
سلام برای اپلود امن راهکاری که به ذهنم رسیده اینه که در پوشه ای که فایل ها آپلود میشن اجازه اجرای

فایل php و ... داده نشه !

اینکار رو چطوری میشه با htaccsess انجام داد.

در ضمن اگه هکر با نرفندهای خاصی بتونه خودش htaccess آپلود کنه و این تنظیمات رو از بین ببره

چه راهکاری به ذهنتون میرسه .

پی نوشت :

برای امنیت بیشتر این کار انجام میشه وگرنه با روش های دیگه تا حدودی امنیت نسبی برقراره

از جمله :


  • لیست فایل های مجاز برای آپلود و اجازه ندان به آپلود سایر Type ها
  • محدود کردن حجم فایل آپلود شده (حداقل و حداکثر)
  • کد تصویری برای جلوگیری از رفرش های پیاپی بعد از آپلود موفق که هکر میتونه کاری کنه که فضای هاست کلا مصرف بشه و اکانت Suspend بشه
  • و ....
 

mosi20

Active Member
یه سری تنظیمات روی سرور میشه انجام داد که در پوشه های 777 اصلا فایل php اجرا نشه.
من بلد نیستم ولی روی بعضی سایت ها دیدم این مدلی هست
 

foranyone

Well-Known Member
یه سری تنظیمات روی سرور میشه انجام داد که در پوشه های 777 اصلا فایل php اجرا نشه.
من بلد نیستم ولی روی بعضی سایت ها دیدم این مدلی هست

سیستمی که می نویسم سفارش دانشگاه

بعید میدونم اونا از تنظیمات سرور چیزی سر در بیارن:green:

من به عنوان برنامه نویس چطوری میتونم این کار رو انجام بدم ؟

را ه حلی نداره که با htaccess حل شه ؟
 

ziXet

مدیر انجمن PHP/MYSQL

foranyone

Well-Known Member
تو این آدرس :

http://prozilla.net/blog/2009/06/03/protect-secure-777-chmod-folders-using-htaccess/

گفته باید این htaccess ایجاد بشه
کد:
php_flag engine off
 <Files ~ “\.(php*|s?p?html|cgi|pl|txt)$”>
deny from all
</Files>
ولی متاسفانه کار نکرد!

احساس میکنم اصلا تنظیمات htaccess رو لوکال اجرا نمیشه ! از Xampp استفاده میکنم !
 
آخرین ویرایش:

ziXet

مدیر انجمن PHP/MYSQL
تو این آدرس :

http://prozilla.net/blog/2009/06/03/protect-secure-777-chmod-folders-using-htaccess/

گفته باید این htaccess ایجاد بشه
کد:
php_flag engine off
 <Files ~ “\.(php*|s?p?html|cgi|pl|txt)$”>
deny from all
</Files>
ولی متاسفانه کار نکرد!

احساس میکنم اصلا تنظیمات htaccess رو لوکال اجرا نمیشه ! از Xampp استفاده میکنم !
باید بری کانقیگ رو درست کنی تا htaccess روی لوکال اجرا شه.
راهنمای فعال سازی برای xampp
http://www.lancelhoff.com/enabling-htaccess-in-apache-on-windows/
 

mosi20

Active Member
مد header باید فعال باشه
در ۹۰٪ تنظیمات این مد فعال نیست
 

mosi20

Active Member
برای فعال کردن این مد در سرور این ۲ کد را اجرا می کنند.
کد:
sudo a2enmod headers
کد:
sudo /etc/init.d/apache2 force-reload
 

sharktech

کاربر فعال
من هم یه بار دنبال یه همچین چیزی بودم که اینو پیدا کردم, تست کنید ببینید جواب میده.

کد:
Options -Indexes
Options -ExecCGI
AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi
 

sajadmaz

Member
فولدر آپلود را یک مسیر قبل از /public_html بزار و با برنامه فایل رو بخون نمایش بده دانلود کن اینجوری دسترسی مستقیم Web access رو ازش گرفتی و همینطور میتونی پرمیشن برای نمایش و اجرا بزاری و مستلزم اجرای اون کارهایی هم که خودتون گفتین هم هست به نظر من این راه منطقیه
 

milad.mobi

New Member
PHP:
<Directory  D:/xampp/htdocs/upload>
php_admin_flag  engine off
</Directory>
این 3 خط رو در فایل .htaccess در همون پوشه upload ذخیره کنید .

در قسمت Direcotry هم مسیر پوشه upload رو قرار بدین .

موفق باشید .
 
آخرین ویرایش:

foranyone

Well-Known Member
مگه مشکل حل نشد؟
نتونستی فعال کنی؟
فعال بودن نیازی به فعال شدن نبود ! ظاهرا کد htaccess مشکل داره امیرر ضا میشه خودتون یه تستی بزنین ببینین کار میکنه
یا مشکل از وب سرور منه:rose:

فولدر آپلود را یک مسیر قبل از /public_html بزار و با برنامه فایل رو بخون نمایش بده دانلود کن اینجوری دسترسی مستقیم Web access رو ازش گرفتی و همینطور میتونی پرمیشن برای نمایش و اجرا بزاری و مستلزم اجرای اون کارهایی هم که خودتون گفتین هم هست به نظر من این راه منطقیه
سجاد جان منطقی هست ولی چون احتمالا خودم این رو نصب نمیکنم و مسئول سرور دانشگاه باید این کار رو بکنه

نمیخوام اینجوری باشه من فعلا می خوام در سطح برنامه نویسی این کار رو با htaccess انجام بدم مرسی

این 3 خط رو در فایل .htaccess در همون پوشه upload ذخیره کنید .

در قسمت Direcotry هم مسیر پوشه upload رو قرار بدین .

موفق باشید .
میشه خودتون این رو امتحان کنید رو سرور خودتون می خوام مطمئن شم مشکل از وب سرور منه :rose:
 

milad.mobi

New Member
من تست کردم بعد در پستم قرار دادم .

وقتی که اجرا میشه Error 500 میده .

مشکل از Web Server شماست .
 

جدیدترین ارسال ها

بالا