2010年4月7日水曜日

アップロードファイルを置く場所の設定(Apache)

スズキです。

アップロードファイルを置く場所に悪意のあるPHPやHTML(JavaScript)を
置かれた場合の対策です。

--------【httpd.conf】--------
...
<Location /tmp>
  RemoveHandler .php
  RemoveType .php
  AddType text/plain .html .htm .xhtml .xht .xml .xsl
</Location>
...
--------

上記のように、PHPは無効になるようにして、
htmlなども、"text/plain"として扱われるようにしています。

とはいっても、アップロードプログラムでの対応が第一ですが...

セキュリティもがんばっていこう。

--------
http://www.suz-lab.com

0 コメント: