11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置

最新推荐文章于 2024-09-01 02:07:48 发布

weixin_33717298

最新推荐文章于 2024-09-01 02:07:48 发布

阅读量129

点赞数

文章标签： php 开发工具

原文链接：http://blog.51cto.com/13450039/2084042

版权

11.28 限定某个目录禁止解析php
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
例如一些目录允许上传图片，为防止有人上传带有病毒php文件，所以禁止php解析，一般存放静态的文件上的目录是不允许解析PHP文件的

重新加载配置文件

11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
创建upload目录，访问提示403状态码

在浏览器打开是无法打开的，连访问的机会都没有

将下图的注释掉

再重新加载后测试，这时候不能解析了，显示它的源代码

在浏览器打开提示下载
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
11.29 限制user_agent

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

重新加载配置文件，curl访问提示状态码是403，就是因为user_agent是curl 所以无法访问

用curl -A来自定义下user_agent就可以访问了,状态码是200，直接可以访问
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
查看日志的user_agent 下图所示

11.30/11.31 php相关配置

在下面这个根目录下创建phpinfo

在浏览器查看php.ini配置文件的路径，但是实际上没有加载

没有加载就需要在源码包复制一个php.ini进去
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
再重新加载一下配置文件

刷新一下浏览器就加载了配置文件的路径

这时候就可以去编辑配置文件做一些限制了
vim /usr/local/php7/etc/php.ini
输入/disable_fu 搜索到的是空的，再加入一些比较危险的函数
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
测试phpinfo的作用打开网可以看到站点的具体内容，如果禁掉就无法打开站点了

所以这里就把phpinfo取消，因为还需要使用它
还需要定义date.timezone，如果不定义这个可以会有一些告紧信息，可以定的上海或重庆都是可以的
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
上面把phpinfo函数禁用了，打开网页时把错信息显示在页面上了，这样容易暴路信息

重新加载配置文件

浏览器重新刷新一下，没有错误提示了，显示空白

curl -A查看也是没有任何的输出也是白页，但这不是我们想要的结果，因为不知道什么问题，不知道发生事
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
这时候就要配置几个错误日志，方便查找原因
vim /usr/local/php7/etc/php.ini
输入/log_errors查看是否开启

输入error_log定义路径

这时候还要定义error_log的级别，如果error_log的级别很高的话，它仅仅会记录一比较来严峻的错误
像一些警告的就不会记录，所在就不知道错误在那
输入/error_reporting 在生产中我们用E_ALL & E_NOTICE就可以了，这里用E_ALL
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
加载配置文件测试，在/tmp下生成了php_errors.log日志文件，并查看它的属主属组

它的属主属组其实是httpd的属主属组

如果有一天发现错误日志始终没有写进定义的错误日志文件里，那么你就要查看一下这个定义的文件所在的目录有没有写的权限，这个写的权限的人就是httpd的启动用户，这里是deamon这个用户，为了安全起见也可以在创建touch /tmp/php_erroes.log然后再给它权限chmod 777 /tmp/php_erroes.log
查看下日志记录，然后再模拟下访问，再查看日志文件，这时候就出现Parse更严重的安全级别了
我们在排查错误的时候一定要有错误日志，如果没有是不行的
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
下面介绍open_basedir安全选项
例如一个服务器上跑了N多个站点，有一些站点漏洞很多，结果这个站点被黑了，被人拿到了权限，不断惨透服务器，就有可能造成其它站点也会被黑了，这个时候增加一个open_basedir就有可能防止其它网站被黑，A网站目录在A目录下，B网站目录在B目录下,这2个目录做一个隔离，A网站被黑了也只能看到A目录，但看不到B目录，因为没有权限进去B目录，这个就是open_basedir的作用
编辑配置文件，故意把111.com写错1111.com
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
测试一下结果提示状态码为500

将1111.com更改成正确的111.com

访问的状态码就正确了 200

如果这个服务器有N多个站点，都在这个目录下，更改php.in只针对一个目录，那么其它站点都在这个目录，都可以访问，更改php.ini文件就不合适了，php.ini是做不到的
这时候需要针对这些站点去做open_basedir，就要到虚拟服务器里去做限制了
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
/tmp/默认存放临时文件，如果限制了就无法写入临时文件，例如上传图片，它会先把图片放在临时目录，再把图片放到该放的地方，根据不同的虚拟主机限制open_basedir
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置
测试可以访问

扩展
apache开启压缩 http://ask.apelearn.com/question/5528
apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292
apache options参数 http://ask.apelearn.com/question/1051
apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
apache 配置https 支持ssl http://ask.apelearn.com/question/1029

转载于:https://blog.51cto.com/13450039/2084042

weixin_33717298

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
11.28限定某个目录禁止解析php11.29限制user_agent11.30-31php相关配置

11.28 限定某个目录禁止解析php例如一些目录允许上传图片，为防止有人上传带有病毒php文件，所以禁止php解析，一般存放静态的文件上的目录是不允许解析PHP文件的重新加载配置文件创建upload目录，访问提示403状态码在浏览器打开是无法打开的，连访问的机会都没有将下图的注释掉再重新加载后测试，这时候不能解析了，显示它的源代码在浏览器打开提示下载11.29 限制user_agentvim ...
复制链接

扫一扫