常用基础 - 指定目录禁用PHP脚本

  • 作者:KK

  • 发表日期:2020.03.10


要点速读

<Directory "/a/b/c/upload">
	php_admin_flag engine off
</Directory>

其中 /a/b/c/upload 是要禁用的目录。


应用场景

为了提高安全级别,我们通常需要设定一些目录禁止运行PHP文件,这种目录通常是指DocumentRoot目录下的子目录。最经常需要禁用的就是上传文件目录了,因为如果程序有逻辑漏洞,攻击者不是上传图片而是上传了一个 php 文件,那就可以通过访问类似“http://xxx.com/upload/1.php”来实现运行攻击者上传的PHP文件进而渗透系统。