一般CMS都支持上传图片、附件等文件,然而这个目录不需要php脚本执行支持,如果你没有加以禁止的话,会给主机带来安全隐患,Blinux的网站曾经遭遇到坏坏注入.
今天介绍如何取消apache主机指定目录的php脚本执行权限,注意哦,并非Linux下文件的执行权限x.下面提供几种不同作业环境的解决方案.
1.如果你只有编辑.htaccess文件的权限
你可以在上传目录添加一个.htaccess文件,比如在Wordpress的/wp-content/uploads/目录,Discuz的/attachments/目录,.htaccess文件的内容可以是
<Files ~ ".php"> Order allow,deny Deny from all </Files>
或者是(这个是bigcat透露的 
)
RewriteEngine on RewriteCond % !^$ RewriteRule \.(php)$ - [F]
2.如果你有编辑httpd.conf文件的权限
<Directory /var/www/bbs/attachments> <Files ~ ".php"> Order allow,deny Deny from all </Files> </Directory>
注:Blinux有一个论坛,目录为/var/www/bbs/attachments.
PS:Blinux以前的一个网站遭遇到注入,检查时在图片上传目录找到一个不能显示的“图片”,查之原来是一个asp文件.后来看了相关教程,得知入侵之方法,故出此教程给大家.
原创文章,转载请注明: 转载自Blinux
原文链接地址: 取消上传目录php脚本执行权限
经验之谈,做个记号,需要时再研究。
[回复]
[回复]
Blinux
回复:
一月 19th, 2010 at 8:28 下午
是啊,除非是VPS,不过可以修改.htaccess
[回复]
哦?换域名了啊、
[回复]
Blinux
回复:
一月 19th, 2010 at 8:31 下午
是啊。 yanglu兄很低调啊
[回复]
以前确实没有注意到这个问题,呵呵,多谢提醒!
[回复]
Blinux
回复:
一月 19th, 2010 at 8:30 下午
That's all right
[回复]
阿里妈妈的广告通过了呀,呵呵,给你贡献了两次点击收入,赶快去看看多少钱了
[回复]
Blinux
回复:
一月 19th, 2010 at 6:11 下午
阿里妈妈好像一般不会拒绝
[回复]
alimama是无需点击的吧,按周付费。我看有的网站,一个广告位一周就收几百元,好牛!
[回复]
Blinux
回复:
一月 19th, 2010 at 7:33 下午
阿里妈妈支持自由出售广告
[回复]
热烈欢迎您来到Blinux!强烈推荐你订阅本博客 猛击此链接 .
[回复]
Blinux
回复:
一月 20th, 2010 at 1:19 下午
松哥来了
[回复]
技术文章向你学习
[回复]
嗯,厉害厉害。
不过好像中国很多空间不支持.htaccess。
godaddy的主机可以,我现在也用他们的主机了,被几这个托儿害的。
[回复]
Blinux
回复:
一月 21st, 2010 at 8:42 上午
只有Linux主机才支持.htaccess啊,国内的Linux主机好像也大多支持吧
[回复]