私のウェブサイトには、ユーザーがアップロードしたファイルを保存するディレクトリがあります。私はアップロードされたファイルの種類にホワイトリストを使用し、ハッシュされた名前を使用してファイルを保存しますが、私が読んだもう一つの良いセキュリティ対策は、ディレクトリでスクリプトの実行を停止することです。また、ユーザーが自分に属していないファイルをダウンロードしたくないので、ディレクトリ内のファイルに直接アクセスするのを防ぎたいと思います。
私のサーバーはLinuxとApacheを実行します。次の.htaccessファイルは私が達成したい目標に適していますか?
order deny,allow
deny from all
<FilesMatch .php>
SetHandler None
</FilesMatch>
ベストアンサー1
あなたは次のようなものを探しています:
<Directory /path/to/dir>
Order allow, deny
Deny from all
php_admin_flag engine off
</Directory>
最初の2つのガイドライン(OrderそしてDeny)(または2.2または2.4)は誰もがApacheを介してこのディレクトリにアクセスするのを防ぐ必要があります(403エラーが発生しました)。php_admin_flagを考慮してmod_phpをオフにしてくださいDeny from all。
別のより良いアプローチは、Webルートにディレクトリがまったく存在しないようにすることです。