作者CoMix (CoMix)
看板PHP
標題[請益] 關於資料夾的權限
時間Sun Apr 17 20:16:36 2011
由於 apache 裡面的設定是直接開啟 index.php index.html ... etc
放檔案上傳的資料夾沒有上述的那些檔案
導致使用者可以直接看到裡面的檔案目錄並可以做下載的動作
目前改善的作法是在資料夾裡面 新增一個index.php檔
<script type='text/javascript'>
alert("你沒有使用的權限");
location.href("../index.php"); // 返回系統首頁
</script>
雖然可以防止上面的問題了 但是不知道這個做法安不安全
想問問看各位板友 還有哪些方法可以防止這樣的問題 ~ 3Q
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.125.46.81
1F:→ knives:檢查一下apache的設定檔你的設定錯誤才會把目錄跑出來 04/17 20:36
2F:→ knives:你這樣做只能防君子,還是先從系統下手吧 04/17 20:37
3F:→ buganini:算是安全的 有些套件裡面的作法是丟一個空白的index.html 04/17 20:45
4F:→ buganini:把apache設定檔裡面Options裡面的Indexes拿掉就好 04/17 20:45
5F:→ buganini:用index.php不如用index.html安全 如果php沒在動就走光 04/17 20:45
6F:→ buganini:這也不算設定錯誤 預設就是開啟的 個人習慣是把他關掉 04/17 20:46
7F:→ buganini:然後設AllowOverride讓有需要的人自己開 04/17 20:46