网站之家技术交流论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1552|回复: 0

禁止指定目录执行php文件

[复制链接]
发表于 2014-10-31 10:13:26 | 显示全部楼层 |阅读模式
我们设置网站权限的时候,有些目录不得不设置让http服务器有写入权限,这样安全隐患就来了。比如discuz x2的data目录,这个必须要有写入限,论坛才能正常运行,但有的黑客可能就会利用这个目录上传php文件(你会说附件上传已经限制这种格式的文件,但谁知道黑客会利用什么手段上传呢,只有他们清楚了),进而到配置文件读取到mysql的连接信息,那么你的数据库就是他的了。下面介绍apache和nginx下禁止指定目录执行php文件。



apache的配置

<Directory /home/centos/web/data>

php_flag engine off

</Directory>

<Directory ~ "^/home/centos/web/data">

<Files ~ ".php">

Order allow,deny

Deny from all

</Files>

</Directory>

nginx的配置

location /data/ {

location ~ .*\.(php)?$ {

deny all;

}

}



location ~* ^/(attachments|upload)/.*\.(php|php5)$

{

deny all;

}


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|网站之家技术交流论坛 ( 粤ICP备09092995号 )

GMT+8, 2024-12-22 12:13 , Processed in 0.105591 second(s), 6 queries , File On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表