Nginx和Apache中配置禁止PHP可执行权限

今天继续来说一说安全方面的知识,在项目完成开发后,我们要在测试环境测试,生产环境部署等一系列操作。我们以thinkphp5.1版本为例,在5.1版本中使用了单一入口模式,同时将动态文件和静态文件进行了分离。我们本次主要说一下目录权限和脚本权限。使用过thinkphp框架的知道,我们将index.php文件(入口文件)放置在public目录内。同时也将一些静态资源文件,如样式文件、图片文件及其他文件放置在其中,这里面对目录建议只设置读取和执行权限。对脚本文件只设置读取权限。

php

综合建议如下:

1、 尽可能的减少public目录下可写入目录的数量

2、 文件的写入权限和执行权限只能选其一,避免同时出现写入和执行权限。最直接的例子就是我们上传的图片,一般来说我们将图片上传至upload目录下,层级关系如下:/upload/20200506/2341028309128903127.jpg,图片如果是我们后台上传的还比较好控制,如果是用户上传的,则可能会出现图片木马,一旦我们在上传时为限制图片格式、图片大小等问题,非常容易被攻击者上传木马文件。如果文件被赋予了执行的权限,那么这是一个非常危险的情况。因此,我们应该严格禁止可执行权限。

如何在服务器中禁止图片存储目录的可执行权限呢?请看下面的例子,我将以Apache和nginx为例。

1、 apache下禁止指定目录运行PHP脚本。只需要在配置文件中增加php_flag engine off指令即可,实例如下:

Options FollowSymLinks

AllowOverride None

Order allow,deny

Allow from all

# 禁止上传目录中的php脚本执行

php_flag engine off

2、 apache也可以在.htaccess文件中进行配置,实例如下:

RewriteEngine on RewriteCond %  !^$

RewriteRule Upload/(.*).(php)$  -[F]

RewiteRule Public/static/(.*).(php)$ -[F]

3、 nginx下禁止制定目录运行php脚本,在server配置中增加配置参数,可以通过location条件匹配定位后进行权限禁止。

#单个目录禁止

Location ~* ^/upload/.*\.(php|PHP 5)$

{

deny all

}

# 多个目录禁止

Location ~*  ^/(upload|static)/.*\.(php|PHP 5)$

{

deny all

}

注意事项,配置必须要防止在下面的配置前面才会生效

Location ~ \.php${

Fastcgi_pass 127.0.0.1:9000;

Fastcgi_index index.,php

Fastcgi_param SCRIPT_FILENAME

$document_root$fastcgi_script_name

Include fastcgi_params;

}

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200616A0WLKP00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券