Какие файлы считаются небезопасными для загрузки на сервер?

Question

[KarambyG]

У меня сайт на PHP. На моём сайте можно загружать различные файлы на сервер. Подскажите, как определить, какие файлы необходимо запрещать загружать для безопасности?

Я так понимаю запрещать нужно файлы php? а как на счёт js? html? txt? и тд?
А так очень интересует расширение .apk - выполняемый файл для запуска андройд приложений.

И второй вопрос. Правильно ли я понимаю, что php файлы тоже впринципе можно разрешить загружать на сервер, но с одним лишь условием, чтобы пользователь не знал путь к этому загруженному файлу, чтобы он не смог перейти на него и тем самым запустить?

Comments

[Дмитрий]

Хранить данный в бинарном виде, данные от файлов и сами файлы отдельно

Answer 1

[tukreb]

Все файлы небезопасны. Можно загрузить картинку, в которой будет исполеяемый код.
Вы должны настроить сервер (nginx/apache) так, чтобы в папке где будут загруженны клиентами файлы, в принципе нельзя было исполнять НИКАКИЕ файлы.

Answer 2

[nokimaro]

Все файлы безопасны. Можно загружать и .php и .apk, главное запретить исполнение и разрешать только скачивание.
Отдельно конечно вопрос по содержимому, так как зальют вам вирус - за это сайт выкинет гугл или яндекс или попадёте в чёрные списки. Зальют картинку или видео с сомнительным содержимым, уже придёт роскомнадзор или хостер выкинет вас или регистратор заблокирует домен.