Aku ada satu masalah, dalam i-Learn ni ada satu fungsi yang diberi nama myDrawer. MyDrawer ni fungsinya adalah untuk allow user upload apa2 file yang diorang suka ke dalam server. Ini lebih kurang macam daya tarikan untuk user berminat menggunakan i-Learn.
Masalahnya ialah, aku dapat tahu ada student yang upload file .php dalam tu and cuba execute unwanted code dalam server, haxor la kiranya2 ni. Aku tak kisah sangat sebab dalam i-learn ni pun bukan ada data confidential tapi cuma risau, kalau student2 ni bawak cerita dan sampai ke pengetahuan lecturer, maka akan hilanglah kepercayaan lecturer kepada i-learn.
Jalan penyelesaiannya, disablekan php execution pada directory yang allow student untuk upload file. Tapi macam mana …
Ini langkah2 untuk Ubuntu dan PHP4
1. buka file /etc/apache2/apache2.conf
2. pergi kat ujung file atau mana2 korang suka.
3. letakkan entry ni
<Directory “/var/www/html/upload/users”>
php_flag engine off
</Directory>
*of course replace directory path dengan korang punya
4. save dan restart apache
sudo /etc/init.d/apache2 restart
Sekarang cuba test upload file php ke dalam directory di atas, instead of executing the php file, anda akan terima satu pop up bertanya sama ada anda ingin open atau save file php tersebut. This should prevent any unwanted php execution on the server.