作者CoMix (CoMix)
看板PHP
标题[请益] 关於资料夹的权限
时间Sun Apr 17 20:16:36 2011
由於 apache 里面的设定是直接开启 index.php index.html ... etc
放档案上传的资料夹没有上述的那些档案
导致使用者可以直接看到里面的档案目录并可以做下载的动作
目前改善的作法是在资料夹里面 新增一个index.php档
<script type='text/javascript'>
alert("你没有使用的权限");
location.href("../index.php"); // 返回系统首页
</script>
虽然可以防止上面的问题了 但是不知道这个做法安不安全
想问问看各位板友 还有哪些方法可以防止这样的问题 ~ 3Q
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.125.46.81
1F:→ knives:检查一下apache的设定档你的设定错误才会把目录跑出来 04/17 20:36
2F:→ knives:你这样做只能防君子,还是先从系统下手吧 04/17 20:37
3F:→ buganini:算是安全的 有些套件里面的作法是丢一个空白的index.html 04/17 20:45
4F:→ buganini:把apache设定档里面Options里面的Indexes拿掉就好 04/17 20:45
5F:→ buganini:用index.php不如用index.html安全 如果php没在动就走光 04/17 20:45
6F:→ buganini:这也不算设定错误 预设就是开启的 个人习惯是把他关掉 04/17 20:46
7F:→ buganini:然後设AllowOverride让有需要的人自己开 04/17 20:46