PHP上传目录禁止执行php文件实例讲解
导读:
禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个Thinkphp项目,我更换过Thinkphp内核,也检查过有没有后门和木马,感觉挺安全的,但后面还是被彩票平台篡改了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对于不安全的源代码,我都是直接舍弃不要。后来想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了解决这种安全隐患问题,我服务器安装了防篡改系统,同时禁止在上传目录里执行php文件。
需要防范的PHP文件有三种类型:
第一种类型. 正常php文件 a.php
第二种类型. php扩展名有大小写 a.pHp a.PHP a.Php
第三种类型. 双重扩展名文件 a.php.a a.php.xml
说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。
第①种方法(推荐):
1、新建一个.htaccess文件,代码内容如下:
<Files ~ ".php"> Order allow,deny Deny from all </Files>
或者用下面的代码:
<FilesMatch "\.(?i:php|php3|php4|php5)"> Order allow,deny Deny from all </FilesMatch>
2、上传.htaccess文件到要禁止运行php的文件夹内,如下图:
第②种方法:
修改apache的配置文件httpd.conf,代码如下:
<Directory D:\wwwroot\public\uploads> <Files ~ ".php"> Order allow,deny Deny from all </Files> </Directory>
或者用下面的代码:
<Directory D:\wwwroot\public\uploads> <FilesMatch "\.(?i:php|php3|php4|php5)"> Order allow,deny Deny from all </FilesMatch> </Directory>
第③种方法:
在网站根目录新建一个.htaccess文件,代码如下:
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ –[F]
上述代码是直接指定哪个目录文件夹下,禁止执行php文件。
到此这篇关于PHP上传目录禁止执行php文件实例讲解的文章就介绍到这了,更多相关PHP上传目录禁止执行php文件内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
使用php方法curl抓取AJAX异步内容思路分析及代码分享
怎样抓取AJAX网站的内容?这是一个热门的问题,也是一个棘手的问题。但实际上呢,抓取ajax异步内容的页面和抓普通的页面区别不大。ajax只不过是做了一次异步的http请求,只要使用firebug类似的工具,找到请求的后端服务url和传值的参数,然后对该url传递参数进行抓取即可2014-08-08PHP中使用file_get_contents post数据代码例子
这篇文章主要介绍了PHP中使用file_get_contents post数据代码例子,本文直接给出代码实例,需要的朋友可以参考下2015-02-02PHP中把stdClass Object转array的几个方法
PHP和JS通讯通常都用json,但用 json 传过来的数组并不是标准的array,而是 stdClass 类型。那么我们可以参考下面的几个方法进行转换。2014-05-05CodeIgniter配置之routes.php用法实例分析
这篇文章主要介绍了CodeIgniter配置之routes.php用法,结合实例形式分析了routes.php中常用配置参数的含义及具体使用技巧,需要的朋友可以参考下2016-01-01Zend Framework教程之Application用法实例详解
这篇文章主要介绍了Zend Framework教程之Application用法,详细分析了Zend_Application的功能,定义,参数含义及相关使用技巧,需要的朋友可以参考下2016-03-03从ThinkPHP3.2.3过渡到ThinkPHP5.0学习笔记图文详解
这篇文章主要介绍了从ThinkPHP3.2.3过渡到ThinkPHP5.0学习笔记,结合图文形式详细分析了thinkPHP3.2.3框架开发过渡到thinkPHP5.0框架的区别与改进方法,需要的朋友可以参考下2019-04-04
最新评论