Я пытаюсь понять, какой метод мне следует использовать для управления безопасностью выполнения скриптов / файлов.
Я пытаюсь защитить себя от злонамеренных эксплойтов загрузки / выполнения файлов, когда пользователь потенциально может загрузить что-то плохое, а затем выполнить это на моем веб-сайте.
Как лучше всего защититься от этого? Я хочу, чтобы могли выполняться только определенные файлы.
Должен ли я рассмотреть вариант использования белого списка (разрешать только мои файлы в каталоге) или черного списка (в зависимости от расширения файла)?
Спасибо!
Вам нужно будет опубликовать более подробную информацию.
При использовании Nginx для сайтов Zend Framework я бы занес index.php в белый список и подал бы 404 любому другому файлу .php. Это нормально для ZF, так как вам нужно только вызвать начальную загрузку, и она обрабатывает все остальные вызовы.
При работе с в основном статическим сайтом я внес в белый список горстку файлов PHP (например, обработка форм в контактной форме), которые, как мне известно, там есть.
На более крупных сайтах, которые не используют файл начальной загрузки, я внес в черный список все файлы PHP из каталогов, которые могут быть записаны процессом Apache, например, 'image-uploads' 'cache' и т. Д.
Боюсь, правильное решение будет зависеть от того, как структурирован ваш сайт.
Почему бы не опубликовать дополнительную информацию?
Андрей