私は LAMP Web サーバーの保守を担当していますが、このサーバーは、SQL インジェクション、CSRF、または同様のトピックについて聞いたことのない一部の PHP プログラマーによってすでに被害を受けています。これらの PHP スクリプトを使用して画像をアップロードするための、誰でも書き込み可能なディレクトリがいくつかあります。もちろん、Web シェルのように、PHP スクリプトをアップロードするために使用することもできます。
Apache が書き込み可能なディレクトリに遭遇したときに PHP エンジンをオフにできる Apache モジュールまたはディレクティブはありますか?
safe_mode は、醜いハックではありますが、問題のサイトで有効になっています。しかし、それ以上に、私はこれらのひどい PHP スクリプト自体の 1 行も監査したり変更したりする責任を負いかねます。
答え1
最も簡単な方法は、php_flag engine offそのディレクトリに .htaccess ファイルを配置することです。「engine」ディレクティブは、php 4.0.5 以降でのみサポートされています。
.htaccess (例 ) を使用して Apache のハンドラを削除することもできますRemoveHandler .phpが、まずは他の方法を試してください。ハンドラを削除することは、時には逆効果になる「強制的に破壊する」方法の 1 つです。