apache配置上傳目錄禁止運行php的方法
導讀: 禁止上傳目錄運行php等可執行文件可以從一定程度上增加網站的安全性,
禁止上傳目錄運行php的方法可以用.htaccess文件, 也可以直接在apache服務器上修改配置文件.
注意:這里需要防范的文件有三種
1. 正常php文件 a.php
2. php擴展名有大小寫 a.pHp a.PHP a.Php
3. 雙重擴展名文件 a.php.a a.php.xml
通常只考慮到第一種情況,滲透攻擊常使用2和3
修改apache配置文件httpd.conf,防范三種情況
<Directory /var/www/uploads> <FilesMatch "\.(?i:php|php3|php4|php5)"> Order allow,deny Deny from all </FilesMatch> </Directory>
可以用.htaccess文件來限制上傳目錄運行php
.htaccess方法A (未測試)
新建一個.htaccess文件,拷貝下面的內容, 上傳到要禁止運行php的文件夾內
<FilesMatch "\.(?i:php|php3|php4|php5)">
Order allow,deny
Deny from all
</FilesMatch>
這種方式可以禁止執行php,但是會下載文件
<Directory "/wp-content/uploads"> AllowOverride None php_flag engine off Allow from all </Directory>
以下情況只能防止第一種情況正常php文件,需要注意
1.
<Directory "<your_dir>"> <Files ~ ".php"> Order allow,deny Deny from all </Files> </Directory>
2.用.htaccess文件
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ –[F]