Можно ли обезопасить загрузку файлов на сервер с помощью запрета на исполнение?

Question

[Родион Юрченко]

Добрый день
Ищу лучший способ обезопасить загрузку картинок на сервер
Пока искал встретил много вариантов из разряда - запретить выполнение скриптов в папке, или выгрузка картинок на отдельный поддомен и там снова запретить выполнять что либо, или хранить файлы вне корня сайта, и т д
Я не говорю что все эти варианты плохи, просто у меня вопрос, почему нельзя просто при загрузке файла поставить на него права типа 644, и все на этом ?
Да, в папке будут валяться всякие не хорошие скрипты, и т д - но ведь выполнить то их нельзя - пусть валяются
Подскажите мне - где я ошибаюсь ?

Answer 1

[Алексей Сундуков]

Определитесь для начала, какую проблему решаете. Кого пытается обезопасить и почему?

Comments

[Родион Юрченко]

стандартная ситуация - сайт где можно загрузить свою аватарку
Я хотел бы убедиться что юзеры кроме картинок больше ничего не могли загрузить(например php-скрипт под видом картинки), а если и смогли, то точно не смогли бы его исполнить

[Алексей Сундуков]

Родион Юрченко, в наши дни, что бы на сервере получилось так сделать, нужно оооочень сильно постараться. При загрузке файла на сервер ему ни когда не выставляется права на исполнение. Даже если выставить, то еще нужно постараться заставить веб сервер выполнить его.

Предлагаю попробывать создать такой файл и загрузить его на сервер. После чего придумать, как его запустить.

P.S. Т.е. я это к тому, что используйте move-uploaded-file, mime-content-type и не запаривайтесь такими вещами.

Answer 2

[Виктор Таран]

Можно, в нужной папке создайте файлик .htaccess

<IfModule mod_mime.c>
        RemoveHandler      .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
        AddType text/plain .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
</IfModule>
<IfModule mod_php5.c>
        php_flag engine off
</IfModule

>