Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс.
/simpla/design/js/tiny_mce/plugins/smexplorer/php/action.php
найти action = upload и добавить проверку.
А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке.
Дело в том что в папке files есть .htaccess с содержимым
RemoveType .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
Который должен запрещать выполнение перечисленных файлов из этой директории. Но видимо это работает не на всех серверах.
Файл можно залить не только через загрузчик.
У меня получилось запретить доступ в такой способ:
<FilesMatch ".(htaccess|ini|phps|fla|psd|log|sh|php)$">
Order Allow,Deny
Deny from all
</FilesMatch>
где нужно перечислить расширения файлов доступ к которым хотите запретить.
Изменено: STM, 23.01.2018 - 01:08