取消上传目录php脚本执行权限[Apache] 不指定

zzh , 2010/08/10 16:09 , 网站服务器 » Apache , 评论(0) , 阅读(2470) , Via 本站原创 | |

一般CMS都支持上传图片、附件等文件,然而这个目录不需要php脚本执行支持,如果你没有加以禁止的话,会给主机带来安全隐患,Blinux的网站曾经遭遇到坏坏注入.

今天介绍如何取消apache主机指定目录的php脚本执行权限,注意哦,并非Linux下文件的执行权限x.下面提供几种不同作业环境的解决方案.

1.如果你只有编辑.htaccess文件的权限

你可以在上传目录添加一个.htaccess文件,比如在Wordpress的/wp-content/uploads/目录,Discuz的/attachments/目录,.htaccess文件的内容可以是

 

        
  1. <Files  ~  ".php">  
         
    2.     
  2.        Order  allow,deny  
         
    3.     
  3.        Deny  from  all  
         
    4.     
  4.        </Files>



或者是(这个是bigcat透露的   )

 

        
  1. RewriteEngine on
         
    2.     
  2. RewriteCond % !^$
         
    3.     
  3. RewriteRule \.(php)$ - [F]



2.如果你有编辑httpd.conf文件的权限

 

        
  1. <Directory  /var/www/bbs/attachments>  
         
    2.     
  2.        <Files  ~  ".php">  
         
    3.     
  3.        Order  allow,deny  
         
    4.     
  4.        Deny  from  all  
         
    5.     
  5.        </Files>  
         
    6.     
  6. </Directory>

 

Tags: