应该是我孤陋了,刚看到了一个apache的漏洞,上传一个***.php.***的文件,可以被当作.php来执行,可以试一下,写入:<?php echo "hello";?>,存成123.php.rar,然后在地址栏输入文件名,显示出来的真的是“hello”,我晕!木马文件轻而易举的就伪装了,太可怕了!
对上传的文件做检查吧,还有个比较偷懒的方法,就是在.htaccess里临时禁止一下吧,在.htaccess里写入:
<FilesMatch "\.php\.">
order deny,allow
deny from all
</FilesMatch>
我又加了一句:RewriteRule ^(\w+).php.(\w+)$ index.php,双保险应该没事了吧!