禁止网站某个目录的php解析是出于安全因素考虑,像一些上传图片的目录,通常这会被细心的人利用上,他上传一个php文件到图片目录下,如果我们不限制该目录下的php解析,那么他就会利用这个漏洞上传web shell从而获得服务器的权限。所以我们需要把这些可写目录限制php的解析,然而我们还忽略了另一个问题,有些目录虽然限制了php解析,但是用户访问这些php文件的时候会把php的源文件下载下来,从而看到了这些文件的源代码,如果是用户自己写的恶意php代码,那当然没有任何问题,但是,如果他们下载到了我们自己的网址上的源代码,那就不好了。所以,除了要禁止php的解析外,还需要限制一下该目录下的php文件不让下载。配置如下:
php_flag engine off
Order allow,deny
Deny from all
其实,我们不加禁止解析的那一行“php_flag engine off” 也是没有问题的。
php_flag engine off
Order allow,deny
Deny from all
其实,我们不加禁止解析的那一行“php_flag engine off” 也是没有问题的。
编辑回复