一般CMS都支持上传图片、附件等文件,然而这个目录不需要执行php脚本支持,如果你没有加以禁止的话,会给主机带来安全隐患,Blinux的网站曾经遭遇到坏坏注入。
今天介绍如何取消apache主机指定目录的执行php脚本权限,注意哦,并非Linux下文件的执行权限x。
下面提供几种不同作业环境的解决方案。
1.如果你只有编辑.htaccess文件的权限
你可以在上传目录添加一个.htaccess文件,比如在Wordpress的/wp-content/uploads/目录,Discuz的/attachments/目录,.htaccess文件的内容可以是[code]<Files ~ “.php”>
Order allow,deny
Deny from all
</Files>[/code]或者是(这个是bigcat透露的 )[code]RewriteEngine on
RewriteCond % !^$
RewriteRule .(php)$ – [F][/code]2.如果你有编辑httpd.conf文件的权限<Directory /var/www/bbs/attachments>
<Files ~ “.php”>
Order allow,deny
Deny from all
</Files>
</Directory>