forma más segura de guardar archivos subidos

almaceno archivos cargados en el directorio web:forma más segura de guardar archivos subidos

//src/Acme/CocoBundle/Entity/CocoFromTheNorth.php 
/** 
* @ORM\Column(type="string", length=255, nullable=true) 
*/ 
public $path; 

protected function getUploadRootDir() 
{ 
    return __DIR__.'/../../../../web/'.$this->getUploadDir(); 
} 

protected function getUploadDir() 
{ 

    return 'uploads/documents'; 
}

Es ésta una buena práctica? ¿No sería mejor mantener los archivos cargados fuera del directorio web para que los usuarios no puedan acceder directamente a ellos?

¿Tengo razón en pensar que la mejor manera sería almacenar archivos cargados fuera de la raíz web? ¿Dónde sería mejor entonces? ¿O cómo podría configurar el servidor web para denegar el acceso al directorio de carga?

Fuente

2012-06-11 Mick

Se prefiere mantener los archivos cargados fuera del directorio web y utilizar X-SendFile para servir esos archivos después de haber establecido los permisos de acceso mediante PHP.

que he descrito algo similar aquí: How to securely store files on a server

Y aquí: Caching HTTP responses when they are dynamically created by PHP

Fuente

2012-06-11 06:59:53

forma más segura de guardar archivos subidos

Respuesta

Cuestiones relacionadas