禁止指定目录执行php文件

阿豪 20-03-04 585阅读

温馨提示:这篇文章已超过695天没有更新,请注意相关的内容是否还可用!

我们设置网站权限的时候,有些目录不得不设置让http服务器有写入权限,这样安全隐患就来了。比如discuz x2的 data目录,这个必须要有写入限,论坛才能正常运行,但有的黑客可能就会利用这个目录上传php文件(你会说附件上传已经限制这种格式的文件,但谁知道黑客会利用什么手段上传呢,只有他们清楚了),进而到配置文件读取到mysql的连接信息,那么你的数据库就是他的了。下面介绍apache和nginx下禁止指定目录执行php文件。

Apache的配置

<Directory /home/centos/web/data>      
php_flag engine off  
</Directory>  
<Directory ~ "^/home/centos/web/data">     
<Files ~ ".php">       
Order allow,deny       
Deny from all     
</Files>  
</Directory>

Nginx的配置

location /data/ 
{  
location ~ .*\.(php)?  $ {deny all;}}  
或  
location ~* ^/(attachments|upload)/.*\.(php|php5)${deny all;}


文章版权声明:除非注明,否则均为阿豪运维笔记原创文章,转载或复制请以超链接形式并注明出处。

相关阅读

Linux怎么增加修改磁盘分区Inodes的大小

bash: pip3: command not found

killall出现-bash: killall: command not found

Centos系统云服务器如何查看使用的是什么虚拟化技术

Apache .htaccess常用方法代码

Apache .htaccess如何设置自动跳转到HTTPS

VMware虚拟机安装Ubuntu Server 20.04.2 LTS

CentOS8系统忘记root密码如何修改