我們設定**許可權的時候,有些目錄不得不設定讓http伺服器有寫入許可權,這樣安全隱患就來了。比如discuz x2的 data目錄,這個必須要有寫入限,論壇才能正常執行,但有的黑客可能就會利用這個目錄上傳php檔案(你會說附件上傳已經限制這種格式的檔案,但誰知道 黑客會利用什麼手段上傳呢,只有他們清楚了),進而到配置檔案讀取到mysql的連線資訊,那麼你的資料庫就是他的了。下面介紹apache和nginx下禁止指定目錄執行php檔案。
php_flag engine off"^/home/centos/web/data
">
".php
">order allow,deny
deny from all
location /data/ }或
location ~* ^/(attachments|upload)/.*\.(php|php5)$
參考:
PHP上傳目錄禁止執行php檔案例項講解
導讀 禁止上傳目錄執行php等可執行檔案,可以從一定程度上增加 的安全性。之前我二次開發過別人開源的乙個thinkphp專案,我更換過thinkphp核心,也檢查過有沒有後門和木馬,感覺挺安全的,但後面還是被彩票平台篡改了首頁,我沒有仔細推敲和研究別人是怎麼做到的,而是直接刪掉了整個專案,對於不安全...
Apache下禁止特定目錄執行PHP,提高安全性
之前在博文 從php安全講dedecms的安全加固 中說過在php安全中保護 可寫目錄下的檔案不允許被訪問到的重要性,還提出了改名資料夾的方式來保護該目錄。如果用的是apache伺服器,還可以通過配置來禁止該目錄下的php檔案的訪問,有兩種方式 方式一 htaccess控制,適用於沒有伺服器管理許可...
php 禁止遍歷目錄,php無限遍歷目錄
以上就介紹了php無限遍歷目錄,包括了方面的內容,希望對php教程有興趣的朋友有所幫助。用的函式有 isset 判斷某個變數是否定義chdir 將當前目錄改變為指定的目錄。opendir 開啟目錄。readdir 讀取目錄。getcwd 獲取當前目錄。還用到了for if get傳值 大概就這些東東...