这里的目的是实现一个全面的安全措施,禁止 php 执行由 apache 用户创建的文件(即上传到 php 脚本)。此外,我们会将 .html/.htm/.xhtml 等更改为 text/plain,以帮助防止对其他用户的基于 JS 的攻击。
就像是:
<FileOwnerMatch apache>
#Disable PHP execution
#change mime types
</FileOwnerMatch>
能做到吗?
注意:我们确实会检查上传的文件扩展名,但为了让您更加安心,我们希望采取与上述类似的措施。
答案1
您应该确保 Apache 只允许写入特定目录,并禁止全部使用语句来执行这个目录(CGI 和 PHP)<directory>
。
可以使用以下语句停用 PHP
php_flag engine off
在<directory>
Apache 配置部分。