我重新编写了一个文件托管站点,我希望能够托管每种文件类型(而不只是拥有允许扩展名的 list )。
我正在运行Nginx和Linux。网站内置在php中。我会禁用.php文件的上载...。但是除此之外....还有什么我需要注意的吗?
最佳答案
这是我们倾向于在我们的php文件上传系统上阻止的扩展的列表。
首先,最好将文件保存在一个不可访问的文件夹中,这样没人可以运行任何上传的文件,其次您可以强制下载每个文件,因此也无法打开。
扩展名列表:
bat
可执行程序
命令
SH
的PHP
PL
cgi
386
dll文件
com
激流
js
应用程式
jar
皮夫
vb
脚本
世界科学基金会
天冬氨酸
cer
企业社会责任
jsp
驾驶
系统
阿德
adp
低音
chm
cpl
crt
csh
fxp
HLP
ta
信息
ins
ISP
se
htaccess
htpasswd
sh
lnk
数据库
mde
mdt
mdw
MSC
微星
MSP
MST
行动
pcd
prg
reg
屏幕
sct
shb
s
网址
vbe
vbs
wsc
世界科学基金会
sh
这也是上面的Javascript正则表达式:
/(\.|\/)(bat|exe|cmd|sh|php([0-9])?|pl|cgi|386|dll|com|torrent|js|app|jar|pif|vb|vbscript|wsf|asp|cer|csr|jsp|drv|sys|ade|adp|bas|chm|cpl|crt|csh|fxp|hlp|hta|inf|ins|isp|jse|htaccess|htpasswd|ksh|lnk|mdb|mde|mdt|mdw|msc|msi|msp|mst|ops|pcd|prg|reg|scr|sct|shb|shs|url|vbe|vbs|wsc|wsf|wsh)$/i