วิธีป้องกัน Folder upload image จากการรันคำสั่ง php ในโฮสติ้ง
ท่านเคยเจอเหตุการณ์นี้หรือไม่ เมื่อเรากำหนดสิทธิ์ให้อนุญาตอัพโหลดรูป หรือ ไฟล์ ลง Folder Upload , Image ต่าง ๆ ใน Host ( chmod 777 ) แต่ปรากฏว่า มีผู้ไม่ประสงค์ดี อัพโหลดไฟล์ php เข้าไปยัง folder ของเรา เพื่อไปรัน php code ซึ่งจุดประสงค์ของพวก spammer เหล่านี้ ส่วนใหญ่เพื่อไปรัน code ยิง spam mail ส่งไปที่ต่าง ๆ ทำให้ IP Address เว็บโฮสติ้งของเรานั้น ติด Blacklist ซึ่งส่งผลรวมทั้ง Server ไม่สามารถส่งเมล์ ไปยังพวก hotmail , gmail , yahoo ได้ ทางเราจึงแนะนำวิธีป้องกัน การรัน php บน folder เหล่านี้
วิธีที่ 1 คือปิดทุกนามสกุลในการโหลดไฟล์ และเลือกอนุญาตเฉพาะ ไฟล์ รูป โดย ให้สร้างไฟล์ .htaccess ไว้ที่ folder upload , image หรือ folder ต่าง ๆ ที่เราให้สิทธิ์อัพโหลดขึ้นไปไวได้ แล้วนำ Code ด้านล่างไปแปะ
# ป้องกันการโหลด ทุกนามสกุล ไฟล์ <Files ~ ".*\..*"> Order Allow,Deny Deny from all </Files> # เลือก อนุญาต ให้รัน บางนามสกุล เช่น jpg , gif ,png tif เป็นต้น <FilesMatch "\.(jpg|jpeg|jpe|gif|png|tif|tiff)$"> Order Deny,Allow Allow from all </FilesMatch>
วิธีที่ 2 คือปิดไม่อนุญาตรันนามสกุล php โดย ให้สร้างไฟล์ .htaccess ไว้ที่ folder upload , image หรือ folder ต่าง ๆ ที่เราให้สิทธิ์อัพโหลดขึ้นไปไวได้ แล้วนำ Code ด้านล่างไปแปะ
# ไม่อนุญาต ให้รันนามสกุล php <Files *.php> deny from all </Files>
เครดิต : Thaihostclub