服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何防止PHP访问目录?
Intereting Posts
亚马逊云服务灾难恢复 如何解读这个smartctl(smartmon)数据 不能出现鱼 – 依赖htmlview返回404或rmd160validation失败 Memcached将无法启动 Exchange服务器垃圾邮件过滤/安全 sshd – 根据传入主机指定不同的密码 iptables的规则-d! (不是目的地)给我错误 Windows Server共享Web界面? RHEL 5.4的替代回购 从Linux客户端自动configurationWindows服务器。 针对大量邮件的SMTP服务build议 关于Windows哲学的书籍或网页 如果你有大量的redirect来实现,是否有一种方式来编写更清晰的重写规则 突然无法到达(ping)远程站点上的远程服务器 可靠的无线芯片组用于64位Windows Server 2008?

如何防止PHP访问目录?

我安装了一个基本的LAMP,我想确保PHP不能访问/ var / www目录之外的任何东西。 我怎样才能做到这一点? 通过“访问”我的意思是也阅读文件和目录列表。

我要求这是因为安全。 我在我的服务器上运行WordPress,如果有人进入pipe理员帐户,他可以编辑模板代码,通过它可以在系统中的任何地方。

谢谢!

以下是确保LAMP设置的关键步骤:

  • 确保所有网站都以自己的用户运行。 你可以使用Apache mod_itk / mod_php或PHP-FPM(通常使用Apache或Nginx)
  • 确保root拥有文件,group是web服务器用户(反之亦然)
  • 确保文件的访问权限为640,目录为750。 只有WordPress的上传文件夹是660/770。
  • 只有在升级或安装插件时,才能更改PHP文件的访问权限。

  • 确保PHP文件不能在图像文件夹中执行: 

    <FilesMatch "/uploads/\.(asp|php|php5|pl)$"> Deny from all </FilesMatch>

    这种技术在Wordpress中效果不佳,因为插件会将php文件安装到该文件夹​​中。 保护上传/ 2017等文件夹可能会更好

  • 保持安装最新
  • 保持服务器软件最新
  • 运行定期的日志审查
  • 有备份
  • 能够快速重build