Задать вопрос
sorry_i_noob
@sorry_i_noob
веб-разработка

Нужно ли ограничивать права на папку, куда заливаются фотографии, которые проверяются на допустимые расширения? И если да, то почему?

У меня на сайте есть возможность заливать фотографии. В скрипте с сохранением фотографий проверяется их расширение - последние символы в названии файла после последней точки. Если расширение не входит в список допустимых (например, png, jpg, jpeg, bmp, gif), то файл не проходит валидацию.

Вопрос. Нужно ли ограничивать права на папку, куда заливаются фотографии? Я слышал, что для любых папок, куда можно залить файлы, нужно запретить выполнение (chmod). Либо можно еще вот так:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
   Order allow,deny
   Deny from all
</FilesMatch>

И если нужно, то зачем это делать? Ведь и так в папку не могут попасть плохие файлы.
  • Вопрос задан
  • 250 просмотров
8 комментариев
Подписаться 2 Простой 8 комментариев
Пригласить эксперта
Ответы на вопрос 1
athacker
@athacker
Разрешения выставлять надо обязательно. Расширение файла никакой роли не играет, исполняемым можно сделать любой файл, хоть .jpg, хоть .png, хоть .exe -- без разницы.

Ну и при заливке проверять лучше не только расшираение, но и формат файла. Чтобы это точно был графический файл, а не скрипт или бинарный исполняемый файл.
Ответ написан
4 комментария
4 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Веб-разработка и управление IT в Sortage
Sortage Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать видеочатбота с ответами на вопросы абитуриентов
23 апр. 2024, в 17:07
6500 руб./за проект
Разработать прототип для бч Solana
22 апр. 2024, в 16:15
18000 руб./за проект
Wagtail(Django)
23 апр. 2024, в 16:55
10000 руб./за проект
Ещё заказы