저는 SQL 주입, CSRF 또는 이와 유사한 주제에 대해 들어본 적이 없는 일부 PHP 프로그래머에 의해 이미 피해를 입은 LAMP 웹 서버를 유지 관리하는 임무를 맡고 있습니다. 이미지를 업로드하는 데 이러한 PHP 스크립트를 사용해야 하는 여러 개의 쓰기 가능한 디렉터리가 있습니다. 물론 웹 셸과 같은 PHP 스크립트를 업로드하는 데에도 사용할 수 있습니다.
Apache에서 쓸 수 있는 디렉터리에 대해 PHP 엔진을 끌 수 있는 Apache 모듈이나 지시문이 있습니까?
못생긴 해킹인 safe_mode가 문제의 사이트에서 활성화되었습니다. 그러나 그 이상으로 나는 이러한 끔찍한 PHP 스크립트 자체를 감사하거나 건드리는 책임을 거부합니다.
답변1
가장 쉬운 방법은 php_flag engine off해당 디렉토리에 .htaccess 파일을 넣는 것입니다. "engine" 지시문은 PHP 4.0.5 이상에서만 지원됩니다.
.htaccess(예: )를 사용하여 Apache에서 핸들러를 제거할 수도 있지만 RemoveHandler .php먼저 다른 핸들러를 시도해 보겠습니다. 핸들러를 제거하는 것은 때때로 역효과를 낳는 "강제 중단" 방법 중 하나입니다.