导读:
禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个thinkphp项目,我更换过thinkphp内核,也检查过有没有后门和木马,感觉挺安全的,但后面还是被彩票平台篡改了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对于不安全的源代码,我都是直接舍弃不要。后来想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了解决这种安全隐患问题,我服务器安装了防篡改系统,同时禁止在上传目录里执行php文件。
需要防范的php文件有三种类型:
第一种类型. 正常php文件 a.php
第二种类型. php扩展名有大小写 a.php a.php a.php
第三种类型. 双重扩展名文件 a.php.a a.php.xml
说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。
第①种方法(推荐):
1、新建一个.htaccess文件,代码内容如下:
<files ~ ".php"> order allow,deny deny from all </files>
或者用下面的代码:
<filesmatch "\.(?i:php|php3|php4|php5)"> order allow,deny deny from all </filesmatch>
2、上传.htaccess文件到要禁止运行php的文件夹内,如下图:
第②种方法:
修改apache的配置文件httpd.conf,代码如下:
<directory d:\wwwroot\public\uploads> <files ~ ".php"> order allow,deny deny from all </files> </directory>
或者用下面的代码:
<directory d:\wwwroot\public\uploads> <filesmatch "\.(?i:php|php3|php4|php5)"> order allow,deny deny from all </filesmatch> </directory>
第③种方法:
在网站根目录新建一个.htaccess文件,代码如下:
rewriteengine on rewritecond % !^$ rewriterule uploads/(.*).(php)$ – [f] rewriterule data/(.*).(php)$ – [f] rewriterule templets/(.*).(php)$ –[f]
上述代码是直接指定哪个目录文件夹下,禁止执行php文件。
到此这篇关于php上传目录禁止执行php文件实例讲解的文章就介绍到这了,更多相关php上传目录禁止执行php文件内容请搜索www.887551.com以前的文章或继续浏览下面的相关文章希望大家以后多多支持www.887551.com!
黄山市民网:https://www.huangshanshimin.com/
