我可以通过文件所有者/权限限制 Apache 指令吗?

我可以通过文件所有者/权限限制 Apache 指令吗?

这里的目的是实现一个全面的安全措施,禁止 php 执行由 apache 用户创建的文件(即上传到 php 脚本)。此外,我们会将 .html/.htm/.xhtml 等更改为 text/plain,以帮助防止对其他用户的基于 JS 的攻击。

就像是:

<FileOwnerMatch apache>
    #Disable PHP execution
    #change mime types
</FileOwnerMatch>

能做到吗?

注意:我们确实会检查上传的文件扩展名,但为了让您更加安心,我们希望采取与上述类似的措施。

答案1

您应该确保 Apache 只允许写入特定目录,并禁止全部使用语句来执行这个目录(CGI 和 PHP)<directory>

可以使用以下语句停用 PHP

php_flag engine off

<directory> Apache 配置部分。

相关内容