Sil*_*ght 7 php apache security
几天前我遇到了一个可怕的问题.我正在我的ubuntu服务器上安装更新,这是一个大约10个网站的主机.在更新期间,出现了问题,并且apach mod_php被禁用.结果,PHP支持消失了,几分钟(直到我发现什么是错的)用户得到了下载PHP脚本的邀请,而不是看到一个网站.毋庸置疑,将脚本源暴露给整个世界并没有什么比这更糟的了,尤其是当数据库凭据保存在内部时.
mod_php
问题:我如何配置apache,以便将来不可能出现这种情况?我应该在apache2.conf中添加哪些行,以便在禁用mod_php的情况下无法下载PHP文件?
Vla*_*sny 9
只需将以下内容添加到根目录中的.htaccess即可
php_admin_flag engine on
在这种情况下,用户将尝试从此目录和下面读取任何文件时出现HTTP 500错误,因为在mod_php关闭的情况下没有模块定义php_admin_flag指令.
El *_*obo 5
一种更安全的方法就是不首先将您不希望访问的内容放在文档根目录中.请参阅我的答案,其中提供了更多细节; 基本的想法是,如果您不想通过URL访问文件,请不要将该死的文件放在URL可访问的位置.99%的应用代码不应位于文档根目录下; 那么你对你的apache/php设置做什么并不重要,你仍然安全.
归档时间:
15 年,2 月 前
查看次数:
466 次
最近记录: