今天继续来说一说安全方面的知识,在项目完成开发后,我们要在测试环境测试,生产环境部署等一系列操作。我们以thinkphp5.1版本为例,在5.1版本中使用了单一入口模式,同时将动态文件和静态文件进行了分离。我们本次主要说一下目录权限和脚本权限。使用过thinkphp框架的知道,我们将index.php文件(入口文件)放置在public目录内。同时也将一些静态资源文件,如样式文件、图片文件及其他文件放置在其中,这里面对目录建议只设置读取和执行权限。对脚本文件只设置读取权限。php综合建议如下:1、尽可能的减少public目录下可写入目录的数量2、文件的写入权限和执行权限只能选其一,避免同时出现写入和执行权限。最直接的例子就是我们上传的图片,一般来说我们将图片上传至upload目录下,层级关系如下:/upload//.jpg,图片如果是我们后台上传的还比较好控制,如果是用户上传的,则可能会出现图片木马,一旦我们在上传时为限制图片格式、图片大小等问题,非常容易被攻击者上传木马文件。如果文件被赋予了执行的权限,那么这是一个非常危险的情况。因此,我们应该严格禁止可执行权限。如何在服务器中禁止图片存储目录的可执行权限呢?请看下面的例子,我将以Apache和nginx为例。1、apache下禁止指定目录运行PHP脚本。只需要在配置文件中增加php_flagengineoff指令即可,实例如下:Directoryt/UploadOptionsFollowSymLinksAllowOverrideNoneOrderallow,denyAllowfromall#禁止上传目录中的php脚本执行php_flagengineoff/Directory2、apache也可以在.htaccess文件中进行配置,实例如下:RewriteEngineonRewriteCond%!^$RewriteRuleUpload/(.*).(php)$-[F]RewiteRulePublic/static/(.*).(php)$-[F]3、nginx下禁止制定目录运行php脚本,在server配置中增加配置参数,可以通过location条件匹配定位后进行权限禁止。#单个目录禁止Location~*^/upload/.*\.(php
PHP5)${denyall}#多个目录禁止Location~*^/(upload
static)/.*\.(php
PHP5)${denyall}注意事项,配置必须要防止在下面的配置前面才会生效Location~\.php${Fastcgi_pass.0.0.1:;Fastcgi_indexindex.,phpFastcgi_paramSCRIPT_FILENAME$document_root$fastcgi_script_nameIncludefastcgi_params;}
转载请注明:http://www.aierlanlan.com/rzdk/6963.html
