Оскільки тема є архівної.
Побита тема, звичайно. але все ж, хотілося б уточнити:
Основне рішення, яке пропонують - покласти в папку .htaccess і заборонити там виконання скриптів:
RemoveHandler .php .php3 .php4 .php5 .php6 .phtml cgi pl phps shtml py
AddType text / html .php .php3 .php4 .php5 .php6 .phtml cgi pl phps shtml py
Але ж пхп-скрипт може бути захований в метадані файлу-картинки. Або ще якийсь розширення не враховано, що може на сервері зіграти злий жарт. Як захистити папку, в яку користувачі можуть завантажувати файли з будь-якими розширеннями, від виконання будь-яких скриптів? Ставити права 644 - не варіант, тому що не відображаються картинки з неї ¶
в картинку нехай ховають, картинка не обробляється сервером ¶
ось такий скрипт засабмітіт картинку з кодом пхп, який буде виконуватися на сервері:
що то мені підказує що настройка невірна! тому як в залежності від РОЗШИРЕННЯ файлу сервер вирішує що робити - обробити або віддати відразу ¶
php_flag engine 0 ¶
Так навіть код, зашитий в картинки не здійсниться?
Є небезпека запуску якихось інших скриптів при стандартній конфігурації сервера? ¶
Не прийде, це взагалі відрубує engine =)
Ще ось це не завадить:
Options + FollowSymlinks -Indexes
#
# Denied access to files starts with "."
#
Order allow, deny
Deny from all
# Deny access to .htaccess files, if Apache's document root
# Concurs with nginx's one
#
location