Как я могу защитить скрипт загрузки изображений PHP от эксплойтов?
мы создали (используясценарий и некоторая помощь от Стэка и некоторая помощь от друзей; Я очень мало знаю о PHP) простая страница для местной некоммерческой публикации, где люди могут загружать фотографии.
Я не очень хорош с безопасностью (по причине невежества, а не преднамеренной халатности), но я 'Мы предприняли следующие шаги для защиты этой страницы: •
PHP-скрипт настроен на прием только файлов .jpg, .png и .tif для загрузки;
подпапка, в которую он сохраняет содержимое формы, имеет права доступа 700, а подпапка, в которую сохраняются загруженные фотографии, имеет права доступа 700;
согласно документации, мой хост имеет следующую конфигурацию, чтобы гарантировать, что только файлы .php запускаются как .php: • I ’
SetHandler php52-fcgi
положить файл .htaccess в соответствующие папки (основной и сохраненный контент):
RemoveHandler .php
RemoveHandler .inc
RemoveHandler .pl
RemoveHandler .cgi
RemoveHandler .py
RemoveHandler .fcgi
Ночью, однако, кто-то нашел эту тестовую страницу и отправил то, что кажется совершенно добрым тестовым сообщением и маленьким .jpg. Это частная тестовая страница с неинтуитивным URL, о которой знают только я и еще около трех человек; никто из других не отправил этот тест.
Это, очевидно, беспокоит менячто-то странное происходит, и яЯ беспокоюсь, что я нене знаю достаточно о безопасности, чтобы убедиться, что эта страница безопасна.
Есть ли что-то очевидное, что ям отсутствует?