Forzar descarga de archivos y no ejecutarlos

diegorpm4 · #1 (**permalink**) 14/12/2015, 22:49

Buenas noches a todos...
Como ya mencione en un tema anterior creado hace unos meses, estoy desarrollando un sistema de autogestion online para una institución.
En el mismo los usuarios pueden subir material de estudio, es decir los profesores para que los alumnos lo descarguen, pero surge un incomveniente.
Si algún usuario sube por ejemplo un archivo .PHP y obtiene el path que tiene la URL directa del webserver y luego accedo a esa URL, en vez de descargarme el archivo, me lo ejecuta, dejando todo el sistema vulnerable y con accesos a los directorios, al código, etc...
ejemplo URL: www.dominio.com/carpeta/subcarpeta/archivo.php

Agradecería muchísimo quien me pueda brindar una solución a esto ya que me estoy volviendo loco.
Saludos a toda la comunidad.

juancaalbarracin · #2 (**permalink**) 14/12/2015, 23:48

Para asegurarnos que el comportamiento al clicar sobre un enlace de nuestra página web sea el esperado en la mayoría de navegadores, deberemos crear un fichero .htaccess, en el cual indicaremos lo siguiente:

Código Apache:

Ver original<FilesMatch "\.(?i:extension1|extension2)$">
  ForceType application/octet-stream
  Header set Content-Disposition attachment
</FilesMatch>

Con esta entrada, indicaremos las extensiones que queremos forzar la descarga. En el caso de indicar varias extensiones, por ejemplo doc, docx, pdf, txt, .., deberemos separarlas con una barra vertical “|”.

Una vez creado el fichero .htaccess, lo guardaremos en la carpeta donde se ubiquen los ficheros en cuestión.

Espero haber ayudado

Fuente: evidaliahost.com