PHP上传目录禁止执行php文件实例讲解
发布时间:2022-07-22 09:07:12 所属栏目:PHP教程 来源:互联网
导读:这篇文章主要介绍了PHP上传目录禁止执行php文件实例讲解,这个是比较实用的防止恶意攻击的方法,有需要的同学可以学习下。 导读: 禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个Thinkphp项目,我更换
|
这篇文章主要介绍了PHP上传目录禁止执行php文件实例讲解,这个是比较实用的防止恶意攻击的方法,有需要的同学可以学习下。 导读: 禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个Thinkphp项目,我更换过Thinkphp内核,也检查过有没有后门和木马,感觉挺安全的,但后面还是被彩票平台篡改了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对于不安全的源代码,我都是直接舍弃不要。后来想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了解决这种安全隐患问题,我服务器安装了防篡改系统,同时禁止在上传目录里执行php文件。 需要防范的PHP文件有三种类型: 第一种类型. 正常php文件 a.php 第二种类型. php扩展名有大小写 a.pHp a.PHP a.Php 第三种类型. 双重扩展名文件 a.php.a a.php.xml 说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。 第①种方法(推荐): 1、新建一个.htaccess文件,代码内容如下: <Files ~ ".php"> Order allow,deny Deny from all </Files> 或者用下面的代码: <FilesMatch ".(?i:php|php3|php4|php5)"> Order allow,deny Deny from all </FilesMatch> 2、上传.htaccess文件到要禁止运行php的文件夹内,如下图: PHP上传目录禁止执行php文件实例讲解 第②种方法: 修改apache的配置文件httpd.conf,代码如下: <Directory D:wwwrootpublicuploads> <Files ~ ".php"> Order allow,deny Deny from all </Files> </Directory> 或者用下面的代码: <Directory D:wwwrootpublicuploads> <FilesMatch ".(?i:php|php3|php4|php5)"> Order allow,deny Deny from all </FilesMatch> </Directory> 第③种方法: 在网站根目录新建一个.htaccess文件,代码如下: RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ –[F] 上述代码是直接指定哪个目录文件夹下,禁止执行php文件。 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |