Могут ли пользователи загрузить вирус на сайте?

На сайте есть некий конструктор. Пользователь вводит нужные данный в нужные поля и на сервере генерируется файл-конфиг с тем, что он указал. Может ли он прописать php код с какой-нибудь угрозой, который можно будет потом запустить?
И как вообще защищаться от подобных атак? Если например пользователь может загрузить файлы на сервер, как их проверять?
  • Вопрос задан
  • 143 просмотра
Пригласить эксперта
Ответы на вопрос 4
dollar
@dollar
В общем случае нет. Ведь конфиг не сохраняется на сервере. А если сохраняется, то без права запуска. Хотя в теории вирус можно загрузить и без конструктора, но это другая история.

Предотвращение атак - это обширная тема. И конструктор здесь самый незначительный фактор из всех, которые придётся учитывать. Но вообще касаемо конструктора, если вводимые данные имеют какой-то безопасный формат, то можно проверять соответствие этому формату.

Например, если в поле вводится число, то это можно легко проверить.

А исключить php в текстовых полях можно поиском пары символов "<?" - и если такая подстрока встречается, то это плохой текст, и конструктор должен запрещать его.
Ответ написан
php666
@php666
PHP-макака
Нет, если директория лежит не в public. Если она в public, можно создать htacess с
php_flag engine off
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Вирус это программа.
Загрузить пользователь его может - если пользователю разрешено заливать файлы на сервер, или есть дыры позволяющие это сделать.
А вот запустить можете только вы.
Ответ написан
Ninazu
@Ninazu
Зависит от того как генерируется конфиг по введенным данным пользователя. И как потом используется. В генераторах обычно данные экранируются, если пользователь сможет обойти экранирование. Если этот конфиг потом подключается, то у вас проблеммы)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы