访问控制-禁止php解析、user_agent,PHP相关配置

最新推荐文章于 2021-03-17 01:20:54 发布
最新推荐文章于 2021-03-17 01:20:54 发布
阅读量332 收藏
点赞数
文章标签: php 开发工具
原文链接:https://yq.aliyun.com/articles/505300
版权

限定某个目录禁止解析php

上传图片的目录不需要解析php,静态文件存放目录不允许放php的。

  • 编辑apache虚拟主机配置文件:

    [root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

    添加下面内容:
    <Directory /data/wwwroot/111.com/upload>
    php_admin_flag engine off
    </Directory>

    测试并重载配置文件:
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

  • 创建相应的目录并放入对应文件

    [root@localhost 111.com]# mkdir upload
    ……
    [root@localhost 111.com]# ls upload/
    123.php abc.jpg baidu.png

  • 测试

    访问123.php文件:
    [root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/123.php
    <?php
    echo "welcom to 123file";
    ?>

    直接显示源代码,即无法进行php解析。

    访问baidu.png文件:
    [root@localhost 111.com]# curl -x192.168.8.131:80 'http://111.com/upload/baidu.png' -I
    HTTP/1.1 200 OK
    Date: Thu, 03 Aug 2017 04:47:16 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
    ETag: "e7a-555d1c5172a6c"
    Accept-Ranges: bytes
    Content-Length: 3706
    Content-Type: image/png
    #正常访问图片文件。

  • 添加php访问权限

    添加参数“< FilesMatch (.)\ .php(. ) ”

    [root@localhost 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

    添加下面的配置:
    <Directory /data/wwwroot/111.com/upload>
    php_admin_flag engine off
    <FilesMatch (.).php(.)>
    Order Allow,Deny
    Deny from all
    </FilesMatch>
    </Directory>

    测试并重载配置文件:
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

  • 测试

    访问123.php:
    [root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/123.php -I
    HTTP/1.1 403 Forbidden
    Date: Thu, 03 Aug 2017 04:28:49 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Content-Type: text/html; charset=iso-8859-1
    #返回状态码为403,即无法访问。

    访问baidu.png:
    [root@localhost 111.com]# curl -x127.0.0.1:80 111.com/upload/baidu.png -I
    HTTP/1.1 200 OK
    Date: Thu, 03 Aug 2017 04:29:25 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
    ETag: "e7a-555d1c5172a6c

    Accept-Ranges: bytes
    Content-Length: 3706
    Content-Type: image/png

    正常访问其它文件。

访问控制-user_agent

user_agent(用户代理):可以理解为浏览器标识。

需求背景:有时候网站受到CC攻击,其原理是:攻击者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装,CC攻击的一个特点就是其useragent是一致的,所以,可以通过限制攻击者useragent的方法来阻断其攻击。

  • 编辑apache虚拟主机的配置文件

    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{HTTP_USER_AGENT} .curl. [NC,OR]

    NC 忽略大小写, OR 或者的意思,与吓一跳语句相关

    RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
RewriteRule  .*  -  [F]
#F 是Fobidden禁止

    </IfModule>

    测试并重载配置文件:
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful

  • 检测

    使用curl直接访问:

    [root@adailinux 111.com]# curl -x192.168.8.131:80 'http://111.com/123.php' -I
    HTTP/1.1 403 Forbidden
    Date: Thu, 03 Aug 2017 06:59:14 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    Content-Type: text/html; charset=iso-8859-1

    返回值为403,禁止访问。

    使用agent aminglinux aminglinux访问:

    [root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' -I
    HTTP/1.1 200 OK
    Date: Thu, 03 Aug 2017 07:01:01 GMT
    Server: Apache/2.4.27 (Unix) PHP/5.6.30
    X-Powered-By: PHP/5.6.30
    Content-Type: text/html; charset=UTF-8
    [root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php
    welcom to 123file

    正常访问

curl-A 指定useragent。curl -A “abc”。

PHP相关配置

  • 查看php配置文件位置

    查看php配置文件路径有两种方法。1.通过命令查找 2.通过php网页信息查找。(较准)

    使用命令查看:
    /usr/local/php/bin/php -i|grep -i "loaded configuration file"

    通过php网页信息查看:
    在网页文件的目录下创建一个phpinfo文件。文件名为1.php。
    内容为:
    <?php
    phpinfo();
    ?>

    通浏览器过访问该文件,可知php配置文件路径。Loaded Configuration File 后跟的就是php配置文件路径。

  • disable_function

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 以上为php中比较危险的函数,可以用过“disable_function”来限制,以达到提高网站安全性的目的

[root@localhost /]# vim /usr/local/php/etc/php.ini 
disable_functions默认是空的。(303行)
disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
# 添加phpinfo惨术后就无法访问phpinfo页面。

检查并重载配置文件:
[root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful

display_errors = Off(459行)
#会把错误的信息显示到浏览器上,一般情况设置为off。使用curl访问也没有任何输出。

重载配置文件之后,无法通过网页访问phpinfo页面。很多企业会在生成环境中将phpinfo限制。

  • date.timezone

    设定时区

    [root@localhost /]# vim /usr/local/php/etc/php.ini

    timezone默认为空

    date.timezone =Asia/Chongqing (Shanghai)

  • 日志

    log_error=On/Off 开启或关闭错误日志(487行)

    错误日志路径:
    ;error_log = php_errors.log
    #默认显示(572行)

    修改成指定路径:
    error_log = /tmp/php_errors.log

    需要将前面的;(分号)去掉。

    定义日志的级别:

    error_reporting = EALL
    #默认(449行)
    级别有:E     ALL(最不严谨的) 、~E NOTICE 、~E STRICT、~EDEPRECATED(可以自由组合)
    生产环境使用:E     ALL & ~E_ NOTICE就可以。

    日志级别的定义解释:
    E_ALL (Show all errors, warnings and notices including coding standards.)
    ; E_ALL & ~E_NOTICE (Show all errors, except for notices)
    ; E_ALL & ~E_NOTICE & ~E_STRICT (Show all errors, except for notices and coding standards warnings.)
    ; E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR (Show only errors)

    检测并重载配置文件:
    [root@localhost /]# /usr/local/apache2.4/bin/apachectl -t
    Syntax OK
    [root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful

配置好之后,只要有错误日志,就会记录在/tmp/php_errors.log 文件中。

如果没有生成错误日志则使用命令 grep error_log /usr/local/php/etc/php.ini 查看错误日志路径。然后按照这个路径创建一个文件并给文件加上777权限。

  • open_basedir

    这是一个安全选项。当只要一个站点被人拿下,服务器上的其他站点就会跟着遭殃,设置open_basedir之后,虽然不能详细控制以某个用户运行某个站点,但至少不会再出现整个服务器被拿下的局面。open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径。

    在/usr/local/php/etc/php.ini 是限制所有站点。如果一台服务器跑了多个站点,只能去虚拟主机配置文件里配置。

    [root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
    在每台虚拟主机配置中加入下面内容,修改open_basedir 为DocumentRoot 的地址。
    php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

    说明: “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可!
    在此开放“/tmp/”目录是为了使临时文件能正常写入。

    重载配置文件后生效

本文转自 豆渣锅 51CTO博客,原文链接:http://blog.51cto.com/754599082/2054946

weixin_33832340
关注
目录禁止解析PHP,限制user_agent
aoli_shuai的博客
12-26 797
禁止PHP解析如果网站有漏洞,万一有人在网站上上传一些木马文件,就会存储在网站的目录里,如果被解析就完蛋 比如,如果黑客上传一个info.php, 同时我们也没有在apache里去设置禁止解析用户上传的文件,那么黑客很有可能会在浏览器里看到我们的配置信息我们只需要限制这些上传的木马文件即可,限制的2种方法: 不允许上传,但这是不合适的,所有用户都上传不了了 即使上传后,也不允许进行任何操作,
禁止解析某目录的php,限制访问user_agent,php相关配置
weixin_34068198的博客
03-12 102
修改配置文件 测试经过测试,根本无法解析到123.php的内容,还可以再次修改配置文件,再提高一个安全级别,根本不允许访问这个目录 访问控制-user-agent修改配置文件F forbidden测试curl403被拒绝,查看下日志^_^发现访问日志来源都是curl 成功访问,并查看访问日志 php相关配置查看php配置文件位置 关闭安全相关的函数功能重新加载配置后打开浏览器测试 php信息已被...
禁止解析PHP、限制user_agent配置PHP
weixin_33949359的博客
08-07 119
2019独角兽企业重金招聘Python工程师标准>>> ...
lamp(八)——禁止php解析、限制user_agentphp设置
巧克力人生的博客
11-19 688
11.28 限定某个目录禁止解析php 11.29 限制user_agent 11.30/11.31 php相关配置 限定某个目录禁止解析php 涉及到编程,bug是不可避免的。web安全是运维、安全、开发几乎所工程师要做的事情。lamp中要防范php使用范围,比如一些资料目录限止使用。 禁止解析php,在apache配置文件增加: &lt;Directory /data/wwwroot/w...
php根据user-agent判断客户端是pc还是wap
i_koo的博客
06-27 4609
GitHub 上有类库: https://github.com/serbanghita/Mobile-Detect; 不用看下面的了。。。 最近要做一个api,返回内容要区分pc还是wap,于是想到了用 http 请求头的 user-agent 来判断。 什么是user-agent 难点在于移动端设备繁多,浏览器几乎一种设备一个版本,要全部兼容判断,有难度。于是,在网上搜罗了很多资料,尽量...
linux的apache2.4限定某个目录禁止解析PHPuser_agentPHP相关配置1
08-08
然而,为了提高安全性,有时我们需要对特定目录禁止PHP解析,避免恶意用户上传PHP木马并执行。此外,通过限制某些特定的`User-Agent`,我们可以防止不必要的搜索引擎爬虫或CC攻击。以下是如何在Apache 2.4中实现这些...
解析file_get_contents模仿浏览器头(user_agent)获取数据
10-27
本文将深入解析如何使用 `file_get_contents` 模仿浏览器头(User Agent)来获取数据。 首先,理解什么是User Agent(UA)至关重要。User Agent是一个特殊的字符串头,当用户通过浏览器或其他HTTP客户端访问网页时...
PHP HTTP_USER_AGENT
10-06
`HTTP_USER_AGENT`是PHP获取客户端浏览器信息的一个重要方式,它可以帮助开发者了解访问者使用的操作系统、浏览器类型、版本等详细信息,从而进行针对性的优化或者提供特定功能。 `HTTP_USER_AGENT`是一个HTTP头...
php中get_meta_tags()、CURL与user-agent用法分析
12-18
PHP编程中,get_meta_tags()函数、CURL和user-agent是三个重要的概念,它们在网页数据抓取和网络通信中扮演着关键角色。 首先,`get_meta_tags()` 是PHP内建的一个函数,专门用于从HTML文档中提取`<meta>`标签的...
php 设置 useragent,PHP如何设置User Agent
weixin_29679557的博客
03-11 1819
最近有在用PhpQuery,发现抓取一些网页的内容是空内容,询问了解到是设置了判断User Agent这个属性。于是一直在找PhpQuery怎么设置UserAgent,无奈PhpQuery文档太少,暂时没有找到,便去寻找PHP原生设置UserAgent的方法,找到了两种。无User Agent代码:include 'phpQuery.php';phpQuery::newDocumentFile('...
php判段ua限制访问,php实现根据浏览器ua信息检测用户是否用手机(Mobile)访问网站的类...
weixin_28881989的博客
03-10 467
php实现根据浏览器ua信息检测用户是否用手机(Mobile)访问网站的类发布于 2015-01-29 13:57:25 | 152 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于...
使用 PHP 解析 User agent 信息
热门推荐
z9web的博客
02-23 1万+
在使用浏览器发起的 HTTP 请求中,通常会包含一个识别标识。它名为 User Agent,简称 UA。它是一串包含了客户端基础信息的字符串。通过它可以方便的获取客户端的操作系统,语言,浏览器和版本信息。 在 PHP 中查看客户端 UA 标识的方式是读取系统常量 $_SERVER 中的 HTTP_USER_AGENT 选项: echo $_SERVER['HTTP_USER_AGENT
php模拟getua_Apache/Nginx/PHP屏蔽垃圾UA爬虫的方法
weixin_39636987的博客
12-21 450
最近发现手上有个站点访问速度非常慢,看了nginx 日志发现有好多宜搜等垃圾的抓取记录,这些垃圾爬虫既不遵守 robots 规则对服务器造成压力,还不能为网站带来流量的无用爬虫,于是从网络上整理收集了各种禁止垃圾蜘蛛爬站的方法,留做记录,以备不时之需。Apache1、通过修改 .htaccess 文件修改网站目录下的.htaccess,添加如下代码即可(2 种代码任选):可用代码(1)Rewrit...
php.ini中的user_agent是什么意思?有什么作用?
dabao87的博客
11-20 797
而是你服务器上的程序去访问其他网络页面时的USER_AGENT。 别人网站有些为了防止非浏览器的访问,防止被采集,就会做浏览器检测,检测user_agent. 如果你不伪装,不设就采集不到了。 通常的访问是浏览器-&gt;网站,网站获得的是你的浏览器信息。 而你如果用些fopen,file_get_contents,socket之类的访问别人网站就是 对方的网站如果分析user_agent,发现是...
(五)PHP解析HTTP_USER_AGENT 记录IP和客户端访问信息
denglei的博客
09-27 2124
  //记录IP和客户端访问信息 function insertClientInfo(){ $ip = get_user_ip(); $agent = $_SERVER['HTTP_USER_AGENT']; $ipinfo = getClientIPInfo($ip); //获取IP相关信息 $browser = getClientBrowser($ag...
php禁止蜘蛛,php屏蔽恶意攻击php屏蔽恶意蜘蛛
weixin_39572152的博客
03-10 219
php判断ua是否是恶意攻击恶意蜘蛛进行屏蔽`$ua = $_SERVER[‘HTTP_USER_AGENT’];function checkrobot($useragent=’’){static $kw_spiders = array(‘bot’, ‘crawl’, ‘spider’ ,’slurp’, ‘sohu-search’,’Messenger’,’Micro’, ‘lycos’, ‘r...
php屏蔽蜘蛛,如何屏蔽垃圾蜘蛛抓取页面
weixin_35689681的博客
03-17 1517
在服务器日常维护过程中我们经常会发现日志中有很多网络蜘蛛爬取的记录,这些蜘蛛有些是知名的并对网站收录流量有益的,比如百度蜘蛛(Baiduspider),也有不但不遵守robots规则对服务器造成压力,还不能为网站带来流量的无用爬虫,比如宜搜蜘蛛(YisouSpider)。yisouspider最变态,每次一抓取就是短时间内大量的抓取页面,会造成服务器压力短时间内迅速上升。还有很多无用蜘蛛如Yand...
php防止用户通过url直接下载
weixin_44511361的博客
09-26 2075
首先我们应该提供给用户除了url下载之外的下载手段,php可以通过文件输入输出流来完成这个任务。 function download($fname,$fpath="download/"){ //避免中文文件名出现检测不到文件名的情况,进行转码utf-8->gbk $filename=iconv('utf-8', 'gb2312', $...
PHP解析HTTP_USER_AGENT 获取客户端手机型号
最新发布
10-17
一种常见的做法是使用第三方库,如`php-user-agent`或`ua-parser-php`,它们专门解析和识别各种设备和浏览器信息。安装并使用这些库后,你可以轻松地检测到手机型号: ```php // 引入ua-parser-php库 require '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值