我的任务是维护一个已经被一些从未听说过SQL注入,CSRF或类似主题的PHP程序员所害的LAMPnetworking服务器。 有几个世界可写的目录,这些PHP脚本应该被用来上传图像。 当然,他们也可以用来上传PHP脚本,比如web shell。
是否有一个Apache模块或指令,可以closuresPHP引擎的任何目录遇到可以通过Apache?
safe_mode,尽pipe它是丑陋的黑客,已经在问题的网站上启用。 但除此之外,我拒绝承担审计责任,或者自己触摸这些残酷的PHP脚本的单一行。
最简单的方法是将php_flag engine off到该目录中的.htaccess文件中。 “引擎”指令仅在PHP 4.0.5或更高版本中受支持。
你也可以尝试使用.htaccess(例如RemoveHandler .php )去除apache中的处理程序,但我会先尝试另一个。 删除处理程序是其中一个“强制它打破”方法,有时适得其反。