Защита директории с аватарами

[koltun]

Доброе время суток все.
Задача:
закрыть папку (chmod 777) в которую загружаются аватарки пользователей.
(также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр)
Почти целую неделю лазил и выяснял какой необходим .htaccess.
К точному занаменателю не пришел.
Составил сборку директив в тестовом .htaccess
Но есть подозрения что есть дубли.
Что-то может пойти не так и станет еще хуже (по безопасности)
Привожу ниже код .htaccess с добавленными детективами.
Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить?

# запрет листинга всех папок и под-папок
Options -Indexes
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
# Отключаем PHP.
RemoveType php
<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 
# запрет доступа к файлам
Order Deny, Allow
Deny from all

Небольшие пояснения
1. в папке с аватарками еще лежит пустой index.html
2. столько много "методов защит" - парайноя беспокоит
3. не оставил только Deny from all потому как слышал что
хакерский скрипт может из другой папки "запустить" зараженную аватарку
4. расширения указанные в качестве запрета могут быть изменены
(или немного не считаться)
Небольшие дополнения
1. нашел вот еще такую "заплатку" - стоит ли ее добавить в .htaccess

<FilesMatch ".*">
Order allow,deny
Deny from all
<FilesMatch "\.(список_легетимных_расширений через |)$|^$">
Order deny,allow
Allow from all

2. и еще одну - также не могу понять добовлять ее или нет :/

Options None
Options +FollowSymLinks

Всем откинувшимся заранее большое СПАСИБО!

 

[RayTraceR1]

Ну во-первых:

Order Deny, Allow
Deny from all

Тут ошибка, не должен быть пробел после запятой где Deny, апач будет ругаться на ошибку в конфигурации(у меня так),
Далее: это запрет на отображение всех файлов, тоесть даже сам движок не сможет отобразить эти файлы(тоесть у пользователей не будут видны аватары).

Options -Indexes

А вот это запретит просмотр содержимого каталога

php_flag engine 0

Для чего он повторяется у вас 3 раза?

 

[koltun]

Ну во-первых:
Тут ошибка, не должен быть пробел после запятой где Deny, апач будет ругаться на ошибку в конфигурации(у меня так),

Спасибо!

Далее: это запрет на отображение всех файлов, тоесть даже сам движок не сможет отобразить эти файлы(тоесть у пользователей не будут видны аватары).

У меня в инструкциях на петерхосте + еще где-то в интеренете
читал написано наоборот что скрипты видят...

А вот это запретит просмотр содержимого каталога
Для чего он повторяется у вас 3 раза?

Там просто обозначены какие-то "mod_php4.c" и "mod_php3.c"
о которых я не знаю - что из них лишнее?

 

[RayTraceR1]

У меня в инструкциях на петерхосте + еще где-то в интеренете
читал написано наоборот что скрипты видят...

Можете сами проверить и поймете о чем я)

Там просто обозначены какие-то "mod_php4.c" и "mod_php3.c"
о которых я не знаю - что из них лишнее?

не mod_php3.c а mod_php5.c
Это взависимости от версии PHP на сервере
если 4 значит mod_php4.c, если 5 - mod_php5.c

И вообще мне кажется, никак незащитить аватары, ведь картинку можно и с профиля скачать...

 

[koltun]

Да не в скачиваемых картинках дело ...

Значит вместо

RemoveType php
<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

можно просто оставить

php_flag engine 0

?


А вот с:

Order Deny, Allow
Deny from all

действительно что-то перемудрил - сижу разбираюсь

 

[RayTraceR1]

Да, но тут стоит проверить опытным путем, будет ли из этой папки работать какой либо php скрипт

 

[koltun]

Ок. Буду стараца - проверять