我正在尝试使用我的几个站点设置我的新 VPS。
nginx、php-fpm 和其他需要的服务已安装。
我为我的站点设置了一个 nginx 服务器块(虚拟主机),然后尝试创建一个 php 文件进行测试。一切正常,但后来我想尝试echo file_get_contents('/etc/passwd')
文件进行安全检查。它的工作也是如此,一个 test.php 文件可以访问我的 VPS etc/passwd 文件等等。
在我尝试之后echo shell_exec('ls /')
,这显示了我的根文件夹。
那么这是正常的吗?或者我怎样才能防止这种情况。我想拒绝访问除运行 php 代码的用户之外/var/www
的所有人www-data
。
对不起,我的英语不好。
谢谢。