820716的博客-知识分享向上的心！

知识分享开阔向上的心胸！ http://www.820716.net/blog

日志

关于我

dragonchen82

文章分类

在apache中禁止一个目录执行php脚本的权限

2011-07-15 10:01:39| 分类：默认分类 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

osharedocs：

你好！

在apache中禁止一个目录执行php脚本的权限

学习 http://home.phpchina.com/space.php?uid=13636&do=blog&id=40356

学习 http://www.bccn.net/Article/web/php/jszl/200512/2325.html

比如某些用于保存用户上传文件（头像、签名、帖子图）等的目录，这些目录只是图片和压缩文件等，并不需要php脚本执行权限，为了避免上传漏洞这些目录需要禁止掉php脚本的执行权限，方法如下：

方法一：

<Directory "e:/webroot/test">
    <Files ~ ".php">
        Order allow,deny
        Deny from all
    </Files>
</Directory>

方法二：php_flag engine off #表示此目录下的PHP文件不被解释执行，限没有PHP权限

当以 Apache 的模块方式运行 PHP 时，也可以通过 Apache 的配置文件（例如 httpd.conf）和 .htaccess 文件中的指令来修改 PHP 的配置选项（需要“AllowOverride Options”或“AllowOverride All”权限）。

在httpd.conf文件里有关在该目录的设定里加上 (PHP4以上版本)
"php_admin_flag engine off"

例:

<Directory /srv/www/htdocs/path>
php_admin_flag engine off
</Directory>

====================================

把PHP脚本操作限制在web目录可以避免程序员使用copy函数把系统文件拷贝到web目录。

move_uploaded_file不受open_basedir的限制，所以不必修改php.ini里upload_tmp_dir的值。

把PHP脚本用phpencode进行加密，避免由于copy操作泄漏源码。

严格配置文件和目录的权限，只允许上传的目录能够让nobody用户可写。

对于上传目录去掉PHP解释功能，可以通过修改httpd.conf实现：

php_flag engine off
#如果是php3换成php3_engine off

重启apache，upload目录的php文件就不能被apache解释了，即使上传了php文件也没有问题，只能直接显示源码。

================================================

用Apache服务器，可以通过配置来禁止该目录下的PHP文件的访问，有两种方式：

方式一：.htaccess控制，适用于没有服务器管理权限。

在可写文件夹的目录下，建一个.htaccess文件，内容为：

Order allow,deny

Deny from all

</Files>

方式二：修改Apache配置文件，适用于有服务器管理权限。

配置中增加如下内容：

Order allow,deny

Deny from all

</Files>

</Directory>

例如：

Deny from all

</FilesMatch>

</Directory>

例如：

Order allow,deny

Deny from all

</Files>

</Directory>

学习构建安全的apache+mysql+php的web服务器 http://www.bizsn.com/info/a/fuwuqijishu/linuxfuwuqi/2009/0917/17459.html

感谢您对我工作的支持和理解！

2011-07-15 09:50:25

陈龙

启德教育集团

启德留学：http://www.eic.org.cn
启德学府：http://train.eic.org.cn

留学论坛: http://bbs.eic.org.cn
留学博客：http://www.eic.org.cn/blog/

腾讯QQ： 84047848

移动电话： 13911098189

新浪微博： http://t.sina.com.cn/dragonchen82 @陈龙1982

个人博客： http:/dragonchen82.blog.163.com

评论这张

转发至微博

阅读(1001)| 评论(0)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_095069080086086066086081084095081095082064087087082074',
              blogTitle:'在apache中禁止一个目录执行php脚本的权限',
              blogAbstract:'<DOCTYPE HTML PUBLIC -WCDTD HTML  TransitionalEN\>      <DIV\><FONT face=\"Verdana\"  \><SPAN\>osharedocs</SPAN\>：</FONT\></DIV\>  <DIV\> </DIV\>  <DIV\>你好！</DIV\>  <DIV\> </DIV\>  <DIV\> </DIV\>  <DIV\>在apache中禁止一个目录执行php脚本的权限</DIV\>  <DIV\> </DIV\>  <DIV\>在apache中禁止一个目录执行php脚本的权限</DIV\>  <DIV\><BR\><A rel=\"nofollow\" href=\"http://home.phpchina.com/space.php?uid=13636&do=blog&id=40356\"  \><FONT color=\"#000000\"  \>学习   </FONT\>http://home.phpchina.com/space.php?uid=13636&do=blog&id=40356</A\></DIV\>  <DIV\><BR\><A rel=\"nofollow\" href=\"http://home.phpchina.com/space.php?uid=13636&do=blog&id=40356\"  \><FONT color=\"#000000\"  \>学习 </FONT\></A\><A rel=\"nofollow\" href=\"http://www.bccn.net/Article/web/php/jszl/200512/2325.html\"  \>http://www.bccn.net/Article/web/php/jszl/200512/2325.html</A\>   <BR\><BR\>比如某些用于保存用户上传文件（头像、签名、帖子图）等的目录，这些目录只是图片和压缩文件等，并不需要php脚本执行权限，为了避免上传漏洞这些目录需要禁止掉php脚本的执行权限，方法如下：</DIV\>',
              blogTag:'',
              blogUrl:'blog/static/59333149201161510139364',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:1316919953732,
              publishTime:1310695299364,
              permalink:'blog/static/59333149201161510139364',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/59333149201161510139364">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

820716的博客-知识分享向上的心！

导航

日志

在apache中禁止一个目录执行php脚本的权限

历史上的今天

最近读者

热度

评论

页脚

820716的博客-知识分享 向上的心！

导航

日志

在apache中禁止一个目录执行php脚本的权限

历史上的今天

最近读者

热度

评论

页脚

820716的博客-知识分享向上的心！