Отключить выполнение *.php для отдельных каталогов

[untied]

Отключить выполнение *.php для отдельных каталогов

Приветствую.

На сайте создана мини-галерея, куда зарегистрированные пользователи могут кидать свои картинки. У каталога, куда записываются картинки, установлены права drwxrwxrwx. Вынести этот каталог за пространство сайта не получается, потому что закачанные картинки потом отображаются на сайте (путем обычного <img src="/uploaded_images/...">).

Возникло опасение, вдруг в результате MySQL-инъекции в этот каталог запишут зловредный файл *.php и хакнут сайт.

Есть ли способ выключить в этом каталоге PHP ?

 

[Wicked]

в результате MySQL-инъекции в этот каталог запишут зловредный файл *.php

это как это?

 

[untied]

А вот как!
__h t t p :// injection.rulezz.ru/MySQL-SQL-Injection.html

см. раздел "запись файлов в веб директорию (php shell)."

 

[zerkms]

если забить на параноидальность самого вопроса, то:

Отключить выполнение *.php для отдельных каталогов

.htaccess
php_flag engine off


))))

 

[untied]

Автор оригинала: zerkms
если забить на параноидальность самого вопроса, то:

.htaccess
php_flag engine off


))))

Спасибо!

PS. Насчет параноидальности... Если б!
Файл уже записали. В каталоге возникла какая-то шняга jatest.php, которая выдает текст и сама себя уничтожает. К счастью, из-за ошибки в коде самоуничтожения не произошло.
По статистике нашли кучу обращений к jatest.php, и что она там вытворяла -- хз.
По логам apache нашли MySQL-инъекцию. Все в точности, как описано в приведенной выше статье (см. ссылку). Куча обращений с "union" и перебором null- полей. Затем был создан файл, опять же по статье.
Пока отключили закачку картинок и установили drwx------ для этого каталога. Никаких других последствий пока не обнаружили. Посторонних таблиц в базе тоже нет.

Да. Подбор полей в инъекцию шел в разные дни и с разных IP-адресов. Возможно, это какой-то троян.

 

[Alexandre]

_h t t p :// injection.rulezz.ru/MySQL-SQL-Injection.html

существует пара примитивных правил безопастности, им уже лет 5-ть не меньше
если их выполнять, то никаких инъекций не будет...

и еще, одна мера, директории с правами на запись должны лежать вне httpdoc

 

[untied]

Автор оригинала: Alexandre
существует пара примитивных правил безопастности, им уже лет 5-ть не меньше
если их выполнять, то никаких инъекций не будет...

Ну, во-первых, там не пара примитивных правил. У *****а была целая подборка на тему защиты от MySQL-инъекции.
Во-вторых, сейчас интересуют оперативные меры. То, что ошибки в скриптах надо исправить, и так понятно.

 

[Alexandre]

То, что ошибки в скриптах надо исправить, и так понятно.

их просто надо не допускать
море информации на официальном сайте РНР

 

[zerkms]

Ну, во-первых, там не пара примитивных правил. У *****а была целая подборка на тему защиты от MySQL-инъекции.

1. все строки пропускать через mysql_real_escape_string
2. все числа - через (int), (float)

пара примитивных правил