禁止指定目录执行php文件
2015-07-30 09:13
537 查看
我们设置网站权限的时候,有些目录不得不设置让http服务器有写入权限,这样安全隐患就来了。比如discuz x2的 data目录,这个必须要有写入限,论坛才能正常运行,但有的黑客可能就会利用这个目录上传php文件(你会说附件上传已经限制这种格式的文件,但谁知道黑客会利用什么手段上传呢,只有他们清楚了),进而到配置文件读取到mysql的连接信息,那么你的数据库就是他的了。下面介绍apache和nginx下禁止指定目录执行php文件。
php_flag engine off
</Directory>
<Directory ~ "^/home/centos/web/data">
<Files ~ ".php">
Order allow,deny
Deny from all
</Files>
</Directory>
location ~ .*\.(php)?$ {
deny all;
}
}
或
location ~* ^/(attachments|upload)/.*\.(php|php5)$
{
deny all;
}
apache的配置
<Directory /home/centos/web/data>php_flag engine off
</Directory>
<Directory ~ "^/home/centos/web/data">
<Files ~ ".php">
Order allow,deny
Deny from all
</Files>
</Directory>
nginx的配置
location /data/ {location ~ .*\.(php)?$ {
deny all;
}
}
或
location ~* ^/(attachments|upload)/.*\.(php|php5)$
{
deny all;
}
相关文章推荐
- PHP定时执行任务实现方法详解(Timer)
- php安全设定
- yii rules使用 获取error信息
- ThinkPHP中RBAC类的四种用法分析
- TP中可通过字段映射隐藏数据表的字段名
- php3种方法实现空心金字塔的打印
- ubuntu上搭建ntp时间服务器
- PHP定时执行任务实现方法详解(Timer)
- PHP实现批量修改文件后缀名的方法
- Thinkphp+smarty+uploadify实现无刷新上传
- php实现的数字验证码及数字运算验证码
- php简单判断文本编码的方法
- php简单生成随机数的方法
- 两种php给图片加水印的实现代码
- php数字运算验证码的实现代码
- php函数连续调用实例分析
- php中define用法实例
- php之static静态属性与静态方法实例分析
- 利用PHP将部分内容用星号替换
- php中max()的一些理解和疑问