问题:
最近一个旧项目中发现专供用户上传图片的uploads目录因之前上传入口限制不严格导致用户上传了php文件上来,为防止此类问题出现。除了严格限制入口文件的上传类型,又专门对此上传目录的访问权限做了一定限制。使其仅可访问除php文件外的文件类型。即:
访问 http://www.myweb.com/uploads/store/1/test.php 不可访问。会报以下错误:
而访问同目录下的图片文件:http://www.myweb.com/uploads/store/1/1.png,则正常显示。
解决:
要限制对某个目录中图片以外的文件(如PHP脚本)的访问,可以通过在服务器配置中设置来实现。根据你的服务器环境和使用的Web服务器软件(如Apache或Nginx),有不同的方法来实现这个需求。下面分别介绍在Apache和Nginx中如何配置:
在Apache中
可以使用.htaccess文件或者修改Apache的配置文件(httpd.conf或apache2.conf)来限制对目录中PHP文件的访问。
使用.htaccess文件
-
确保你的Apache服务器启用了
.htaccess支持。 -
在你的图片目录中创建一个
.htaccess文件,并添加以下内容:
<FilesMatch "\.php$">
Order allow,deny
Deny from all
</FilesMatch>这将会阻止所有对.php文件的访问。
修改Apache配置文件
如果你希望对整个服务器或特定虚拟主机进行配置,可以在Apache的配置文件中添加以下内容:
<Directory "/path/to/your/image/directory">
<FilesMatch "\.php$">
Order allow,deny
Deny from all
</FilesMatch>
</Directory>在Nginx中
在Nginx中,你可以通过配置文件来限制对特定目录中PHP文件的访问。
-
打开Nginx的配置文件(通常位于
/etc/nginx/nginx.conf或/etc/nginx/sites-available/目录下的某个文件)。 -
在相应的server块中,为你的图片目录添加一个
location块,如下所示:location ~* \.php$ { deny all; }
或者,如果你只想对特定目录进行限制,可以这样配置:
location /path/to/your/image/directory {
location ~* \.php$ {
deny all;
}
}确保你的Nginx配置文件语法正确,然后重新加载或重启Nginx以应用更改:
sudo nginx -t # 检查配置文件语法是否正确
sudo systemctl reload nginx # 重新加载Nginx配置(或使用其他适合你系统的命令)
通过以上任一方法,你都可以有效地阻止对图片目录中PHP文件的访问,只允许图片文件的访问。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
