Nginx和Apache中配置禁止PHP可执行权限

今天继续来说一说安全方面的知识，在项目完成开发后，我们要在测试环境测试，生产环境部署等一系列操作。我们以thinkphp5.1版本为例，在5.1版本中使用了单一入口模式，同时将动态文件和静态文件进行了分离。我们本次主要说一下目录权限和脚本权限。使用过thinkphp框架的知道，我们将index.php文件（入口文件）放置在public目录内。同时也将一些静态资源文件，如样式文件、图片文件及其他文件放置在其中，这里面对目录建议只设置读取和执行权限。对脚本文件只设置读取权限。

综合建议如下：

1、 尽可能的减少public目录下可写入目录的数量

2、 文件的写入权限和执行权限只能选其一，避免同时出现写入和执行权限。最直接的例子就是我们上传的图片，一般来说我们将图片上传至upload目录下，层级关系如下：/upload/20200506/2341028309128903127.jpg，图片如果是我们后台上传的还比较好控制，如果是用户上传的，则可能会出现图片木马，一旦我们在上传时为限制图片格式、图片大小等问题，非常容易被攻击者上传木马文件。如果文件被赋予了执行的权限，那么这是一个非常危险的情况。因此，我们应该严格禁止可执行权限。

如何在服务器中禁止图片存储目录的可执行权限呢？请看下面的例子，我将以Apache和nginx为例。

1、 apache下禁止指定目录运行PHP脚本。只需要在配置文件中增加php_flag engine off指令即可，实例如下：

<Directoryt /Upload>
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
# 禁止上传目录中的php脚本执行
php_flag engine off
</Directory>

2、 apache也可以在.htaccess文件中进行配置，实例如下：

RewriteEngine on RewriteCond %  !^$
RewriteRule Upload/(.*).(php)$  -[F]
RewiteRule Public/static/(.*).(php)$ -[F]

3、 nginx下禁止制定目录运行php脚本，在server配置中增加配置参数，可以通过location条件匹配定位后进行权限禁止。

#单个目录禁止
Location ~* ^/upload/.*\.(php|PHP 5)$
{
deny all
}
# 多个目录禁止
Location ~*  ^/(upload|static)/.*\.(php|PHP 5)$
{
deny all
}

注意事项，配置必须要防止在下面的配置前面才会生效

Location ~ \.php${
Fastcgi_pass 127.0.0.1:9000;
Fastcgi_index index.,php
Fastcgi_param SCRIPT_FILENAME
$document_root$fastcgi_script_name
Include fastcgi_params;
}