私の Web サイトには、ユーザーが TXT でファイルをアップロードできるフォームがあります。これらのファイルは常に PHP ファイルであり、サーバー (APACHE + PHP を実行している) に害を及ぼさないように、拡張子を変更するようユーザーに要求します。
ファイルは、後で必要に応じてファイルをダウンロードできるため、www ディレクトリにアップロードする必要があります。ファイルをルート (public_html の上) に保存することはできません。これは、ユーザーがいつでもファイルをダウンロードするためのアクセス権を持っている必要があるためです。問題は、ユーザーが PHP ファイルを含む URL を開くと、それが実行され、セキュリティに大きな穴が開くことです。
これまでのところ、ファイルを txt としてアップロードするようにユーザーに依頼していますが、より専門的なものにして、*.php としてアップロードできるようにしたいと考えています。セキュリティ シアターを使用してファイルをアップロードする攻撃によるサーバーの損傷を防ぐにはどうすればよいですか?
ありがとうございました。