мы создали (используясценарий и некоторая помощь от Стэка и некоторая помощь от друзей; Я очень мало знаю о PHP) простая страница для местной некоммерческой публикации, где люди могут загружать фотографии.

Я не очень хорош с безопасностью (по причине невежества, а не преднамеренной халатности), но я 'Мы предприняли следующие шаги для защиты этой страницы: •

 PHP-скрипт настроен на прием только файлов .jpg, .png и .tif для загрузки;

 подпапка, в которую он сохраняет содержимое формы, имеет права доступа 700, а подпапка, в которую сохраняются загруженные фотографии, имеет права доступа 700;

 согласно документации, мой хост имеет следующую конфигурацию, чтобы гарантировать, что только файлы .php запускаются как .php: • I ’

    SetHandler php52-fcgi

положить файл .htaccess в соответствующие папки (основной и сохраненный контент):

RemoveHandler .php
RemoveHandler .inc
RemoveHandler .pl
RemoveHandler .cgi
RemoveHandler .py
RemoveHandler .fcgi

Ночью, однако, кто-то нашел эту тестовую страницу и отправил то, что кажется совершенно добрым тестовым сообщением и маленьким .jpg. Это частная тестовая страница с неинтуитивным URL, о которой знают только я и еще около трех человек; никто из других не отправил этот тест.

Это, очевидно, беспокоит менячто-то странное происходит, и яЯ беспокоюсь, что я нене знаю достаточно о безопасности, чтобы убедиться, что эта страница безопасна.

Есть ли что-то очевидное, что ям отсутствует?