Задать вопрос
sorry_i_noob
@sorry_i_noob

Нужно ли ограничивать права на папку, куда заливаются фотографии, которые проверяются на допустимые расширения? И если да, то почему?

У меня на сайте есть возможность заливать фотографии. В скрипте с сохранением фотографий проверяется их расширение - последние символы в названии файла после последней точки. Если расширение не входит в список допустимых (например, png, jpg, jpeg, bmp, gif), то файл не проходит валидацию.

Вопрос. Нужно ли ограничивать права на папку, куда заливаются фотографии? Я слышал, что для любых папок, куда можно залить файлы, нужно запретить выполнение (chmod). Либо можно еще вот так:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
   Order allow,deny
   Deny from all
</FilesMatch>

И если нужно, то зачем это делать? Ведь и так в папку не могут попасть плохие файлы.
  • Вопрос задан
  • 251 просмотр
Подписаться 2 Простой 8 комментариев
Пригласить эксперта
Ответы на вопрос 1
athacker
@athacker
Разрешения выставлять надо обязательно. Расширение файла никакой роли не играет, исполняемым можно сделать любой файл, хоть .jpg, хоть .png, хоть .exe -- без разницы.

Ну и при заливке проверять лучше не только расшираение, но и формат файла. Чтобы это точно был графический файл, а не скрипт или бинарный исполняемый файл.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы