如何设置PHP上传目录禁止执行PHP文件?
- 内容介绍
- 文章标签
- 相关推荐
本文共计660个文字,预计阅读时间需要3分钟。
导读:禁止上传目录运行PHP等可执行文件,可以从一定程度上增加网站的安全性。此前,我两次开发过别人开源的ThinkPHP项目,更换过ThinkPHP内核,也检查过是否有后门和马脚,感觉。
导读:
禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个Thinkphp项目,我更换过Thinkphp内核,也检查过有没有后门和木马,感觉挺安全的,但后面还是被彩票平台篡改了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对于不安全的源代码,我都是直接舍弃不要。后来想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了解决这种安全隐患问题,我服务器安装了防篡改系统,同时禁止在上传目录里执行php文件。
需要防范的PHP文件有三种类型:
第一种类型. 正常php文件 a.php
第二种类型. php扩展名有大小写 a.pHp a.PHP a.Php
第三种类型. 双重扩展名文件 a.php.a a.php.xml
说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。
本文共计660个文字,预计阅读时间需要3分钟。
导读:禁止上传目录运行PHP等可执行文件,可以从一定程度上增加网站的安全性。此前,我两次开发过别人开源的ThinkPHP项目,更换过ThinkPHP内核,也检查过是否有后门和马脚,感觉。
导读:
禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。之前我二次开发过别人开源的一个Thinkphp项目,我更换过Thinkphp内核,也检查过有没有后门和木马,感觉挺安全的,但后面还是被彩票平台篡改了首页,我没有仔细推敲和研究别人是怎么做到的,而是直接删掉了整个项目,对于不安全的源代码,我都是直接舍弃不要。后来想了想,应该是被上传了后门文件,然后shell提权修改了首页文件。为了解决这种安全隐患问题,我服务器安装了防篡改系统,同时禁止在上传目录里执行php文件。
需要防范的PHP文件有三种类型:
第一种类型. 正常php文件 a.php
第二种类型. php扩展名有大小写 a.pHp a.PHP a.Php
第三种类型. 双重扩展名文件 a.php.a a.php.xml
说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。