• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    PHP上传目录禁止执行php文件实例讲解

    导读:

    禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个Thinkphp项目,我更换过Thinkphp内核,也检查过有没有后门和木马,感觉挺安全的,但后面还是被彩票平台篡改了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对于不安全的源代码,我都是直接舍弃不要。后来想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了解决这种安全隐患问题,我服务器安装了防篡改系统,同时禁止在上传目录里执行php文件。

    需要防范的PHP文件有三种类型:

    第一种类型. 正常php文件                 a.php

    第二种类型.  php扩展名有大小写     a.pHp     a.PHP  a.Php

    第三种类型.  双重扩展名文件           a.php.a    a.php.xml

    说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。

    第①种方法(推荐):

    1、新建一个.htaccess文件,代码内容如下:

    Files ~ ".php">
    Order allow,deny
    Deny from all
    /Files>

    或者用下面的代码: 

    FilesMatch "\.(?i:php|php3|php4|php5)">
    Order allow,deny
    Deny from all
    /FilesMatch>

    2、上传.htaccess文件到要禁止运行php的文件夹内,如下图:

     第②种方法:

    修改apache的配置文件httpd.conf,代码如下:

    Directory D:\wwwroot\public\uploads>
    Files ~ ".php">
    Order allow,deny
    Deny from all
    /Files>
    /Directory>

    或者用下面的代码: 

    Directory D:\wwwroot\public\uploads>
    FilesMatch "\.(?i:php|php3|php4|php5)">
      Order allow,deny
      Deny from all
    /FilesMatch>
    /Directory>

    第③种方法:

    在网站根目录新建一个.htaccess文件,代码如下:

    RewriteEngine on RewriteCond % !^$
    RewriteRule uploads/(.*).(php)$ – [F]
    RewriteRule data/(.*).(php)$ – [F]
    RewriteRule templets/(.*).(php)$ –[F]

    上述代码是直接指定哪个目录文件夹下,禁止执行php文件。

    到此这篇关于PHP上传目录禁止执行php文件实例讲解的文章就介绍到这了,更多相关PHP上传目录禁止执行php文件内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

    您可能感兴趣的文章:
    • ThinkPHP菜单无极分类实例讲解
    • PHP生成缩略图实例讲解
    • Thinkphp自定义美化success和error提示跳转页面代码实例
    • PHP随机生成18位不重复的订单号代码实例
    上一篇:ThinkPHP菜单无极分类实例讲解
    下一篇:PHP危险函数禁用深入详解
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    PHP上传目录禁止执行php文件实例讲解 PHP,上传,目录,禁止,执行,