比如有一个目录允许上传图片,预防别人上传php文件上去。Apache加载了php模块,有php请求肯定能解析。Php有一些比较危险的函数,所以开放了上传的权限,肯定会被上传一些恶意的木马文件上来,
核心配置文件内容
<Directory /data/wwwroot/www.123.com/upload> //upload目录下禁止php解析
php_admin_flag engine off
</Directory>
测试:
curl -x127.0.0.1:80 '111.com/upload/123.php' //显示源码不安全
<?php
phpinfo();
?>
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
<FilesMatch (.).php(.)> //不让他们直接访问源代码
Order allow,deny
Deny from all
</FilesMatch>
</Directory>
curl -x127.0.0.1:80 '111.com/upload/123.php' -I //即使访问不存在的文件也forbidden
HTTP/1.1 403 Forbidden
curl测试时直接返回了php源代码,并未解析
本文转自 虾米的春天 51CTO博客,原文链接:http://blog.51cto.com/lsxme/2054741,如需转载请自行联系原作者
