VB.net 2010 视频教程 VB.net 2010 视频教程 python基础视频教程
SQL Server 2008 视频教程 c#入门经典教程 Visual Basic从门到精通视频教程
当前位置:
首页 > PHP >

  • PHP上传目录禁止执行php文件实例讲解

这篇文章主要介绍了PHP上传目录禁止执行php文件实例讲解,这个是比较实用的防止恶意攻击的方法,有需要的同学可以学习下。

导读:

禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个Thinkphp项目,我更换过Thinkphp内核,也检查过有没有后门和木马,感觉挺安全的,但后面还是被彩票平台篡改了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对于不安全的源代码,我都是直接舍弃不要。后来想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了解决这种安全隐患问题,我服务器安装了防篡改系统,同时禁止在上传目录里执行php文件。

需要防范的PHP文件有三种类型:

第一种类型. 正常php文件                 a.php

第二种类型.  php扩展名有大小写     a.pHp     a.PHP  a.Php

第三种类型.  双重扩展名文件           a.php.a    a.php.xml

说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。

第①种方法(推荐):

1、新建一个.htaccess文件,代码内容如下:

  1. <Files ~ ".php"
  2. Order allow,deny 
  3. Deny from all 
  4. </Files> 

或者用下面的代码:

  1. <FilesMatch "\.(?i:php|php3|php4|php5)"
  2. Order allow,deny 
  3. Deny from all 
  4. </FilesMatch> 

2、上传.htaccess文件到要禁止运行php的文件夹内,如下图:

PHP上传目录禁止执行php文件实例讲解

第②种方法:

修改apache的配置文件httpd.conf,代码如下:

  1. <Directory D:\wwwroot\public\uploads> 
  2. <Files ~ ".php"
  3. Order allow,deny 
  4. Deny from all 
  5. </Files> 
  6. </Directory> 

或者用下面的代码:

  1. <Directory D:\wwwroot\public\uploads> 
  2. <FilesMatch "\.(?i:php|php3|php4|php5)"
  3.   Order allow,deny 
  4.   Deny from all 
  5. </FilesMatch> 
  6. </Directory> 

第③种方法:

在网站根目录新建一个.htaccess文件,代码如下:

  1. RewriteEngine on RewriteCond % !^$ 
  2. RewriteRule uploads/(.*).(php)$ – [F] 
  3. RewriteRule data/(.*).(php)$ – [F] 
  4. RewriteRule templets/(.*).(php)$ –[F] 

上述代码是直接指定哪个目录文件夹下,禁止执行php文件。

 

出处:http://www.phpfensi.com/php/20220417/20483.html


相关教程