克制上传目次运行php等可执行文件,可以从必然水平上增加网站的安详性。之前我二次开拓过别人开源的一个Thinkphp项目,我改换过Thinkphp内核,也查抄过有没有后门和木马,感受挺安详的,但后头照旧被彩票平台改动了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对付不安详的源代码,我都是直接舍弃不要。厥后想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了办理这种安详隐患问题,我处事器安装了防改动系统,同时克制在上传目次里执行php文件。
需要防御的PHP文件有三种范例:
第一种范例. 正常php文件 a.php
第二种范例. php扩展名有巨细写 a.pHp a.PHP a.Php
第三种范例. 双重扩展名文件 a.php.a a.php.xml
说明:凡是只思量防御第一种,渗透进攻常利用第二种和第三种。
第①种要领(推荐):
1、新建一个.htaccess文件,代码内容如下:
<Files ~ ".php"> Order allow,deny Deny from all </Files>
可能用下面的代码:
<FilesMatch "\.(?i:php|php3|php4|php5)"> Order allow,deny Deny from all </FilesMatch>
2、上传.htaccess文件到要克制运行php的文件夹内,如下图:
第②种要领:
修改apache的设置文件httpd.conf,代码如下:
<Directory D:\wwwroot\public\uploads> <Files ~ ".php"> Order allow,deny Deny from all </Files> </Directory>
可能用下面的代码:
<Directory D:\wwwroot\public\uploads> <FilesMatch "\.(?i:php|php3|php4|php5)"> Order allow,deny Deny from all </FilesMatch> </Directory>
第③种要领:
在网站根目次新建一个.htaccess文件,代码如下:
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ –[F]
上述代码是直接指定哪个目次文件夹下,克制执行php文件。
到此这篇关于PHP上传目次克制执行php文件实例讲授的文章就先容到这了,更多相关PHP上传目次克制执行php文件内容请搜索剧本之家以前的文章或继承欣赏下面的相关文章但愿各人今后多多支持剧本之家!
您大概感乐趣的文章: