本文共 6013 字,大约阅读时间需要 20 分钟。
上传图片的目录不需要解析php,静态文件存放目录不允许放php的。
编辑apache虚拟主机配置文件:
[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加下面内容:
<Directory /data/wwwroot/111.com/upload> php_admin_flag engine off </Directory>测试并重载配置文件:
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t Syntax OK [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful创建相应的目录并放入对应文件
[root@localhost 111.com]# mkdir upload
…… [root@localhost 111.com]# ls upload/ 123.php abc.jpg baidu.png测试
访问123.php文件:
[root@localhost 111.com]# curl -x192.168.8.131:80 '' <?php echo "welcom to 123file"; ?>访问baidu.png文件:
[root@localhost 111.com]# curl -x192.168.8.131:80 '' -I HTTP/1.1 200 OK Date: Thu, 03 Aug 2017 04:47:16 GMT Server: Apache/2.4.27 (Unix) PHP/5.6.30 Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT ETag: "e7a-555d1c5172a6c" Accept-Ranges: bytes Content-Length: 3706 Content-Type: image/png #正常访问图片文件。添加php访问权限
添加参数“< FilesMatch (.)\ .php(. ) ”
[root@localhost 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加下面的配置:
<Directory /data/wwwroot/111.com/upload> php_admin_flag engine off <FilesMatch (.).php(.)> Order Allow,Deny Deny from all </FilesMatch> </Directory>测试并重载配置文件:
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t Syntax OK [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful测试
访问123.php:
[root@adailinux 111.com]# curl -x127.0.0.1:80 111.com/upload/123.php -I HTTP/1.1 403 Forbidden Date: Thu, 03 Aug 2017 04:28:49 GMT Server: Apache/2.4.27 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1 #返回状态码为403,即无法访问。访问baidu.png:
[root@localhost 111.com]# curl -x127.0.0.1:80 111.com/upload/baidu.png -I HTTP/1.1 200 OK Date: Thu, 03 Aug 2017 04:29:25 GMT Server: Apache/2.4.27 (Unix) PHP/5.6.30 Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT ETag: "e7a-555d1c5172a6cAccept-Ranges: bytes
Content-Length: 3706 Content-Type: image/pnguser_agent(用户代理):可以理解为浏览器标识。
需求背景:有时候网站受到CC攻击,其原理是:攻击者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装,CC攻击的一个特点就是其useragent是一致的,所以,可以通过限制攻击者useragent的方法来阻断其攻击。
编辑apache虚拟主机的配置文件
<IfModule mod_rewrite.c>
RewriteEngine on RewriteCond %{HTTP_USER_AGENT} .curl. [NC,OR]RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]RewriteRule .* - [F]#F 是Fobidden禁止 </IfModule>
测试并重载配置文件:
[root@localhost ~]# /usr/local/apache2.4/bin/apachectl -t Syntax OK [root@localhost ~]# /usr/local/apache2.4/bin/apachectl graceful检测
使用curl直接访问:
[root@adailinux 111.com]# curl -x192.168.8.131:80 '' -I
HTTP/1.1 403 Forbidden Date: Thu, 03 Aug 2017 06:59:14 GMT Server: Apache/2.4.27 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1使用agent aminglinux aminglinux访问:
[root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 '' -I
HTTP/1.1 200 OK Date: Thu, 03 Aug 2017 07:01:01 GMT Server: Apache/2.4.27 (Unix) PHP/5.6.30 X-Powered-By: PHP/5.6.30 Content-Type: text/html; charset=UTF-8 [root@adailinux 111.com]# curl -A "aminglinux aminglinux" -x192.168.8.131:80 '' welcom to 123filecurl-A 指定useragent。curl -A “abc”。
查看php配置文件位置
查看php配置文件路径有两种方法。1.通过命令查找 2.通过php网页信息查找。(较准)
使用命令查看:
/usr/local/php/bin/php -i|grep -i "loaded configuration file"通过php网页信息查看:
在网页文件的目录下创建一个phpinfo文件。文件名为1.php。 内容为: <?php phpinfo(); ?>通浏览器过访问该文件,可知php配置文件路径。Loaded Configuration File 后跟的就是php配置文件路径。
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 以上为php中比较危险的函数,可以用过“disable_function”来限制,以达到提高网站安全性的目的
[root@localhost /]# vim /usr/local/php/etc/php.ini disable_functions默认是空的。(303行)disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo# 添加phpinfo惨术后就无法访问phpinfo页面。检查并重载配置文件:[root@localhost /]# /usr/local/apache2.4/bin/apachectl -tSyntax OK[root@localhost /]# /usr/local/apache2.4/bin/apachectl gracefuldisplay_errors = Off(459行)#会把错误的信息显示到浏览器上,一般情况设置为off。使用curl访问也没有任何输出。
重载配置文件之后,无法通过网页访问phpinfo页面。很多企业会在生成环境中将phpinfo限制。
date.timezone
设定时区
[root@localhost /]# vim /usr/local/php/etc/php.ini
date.timezone =Asia/Chongqing (Shanghai)
日志
log_error=On/Off 开启或关闭错误日志(487行)
错误日志路径:
;error_log = php_errors.log #默认显示(572行)修改成指定路径:
error_log = /tmp/php_errors.log定义日志的级别:
error_reporting = EALL #默认(449行) 级别有:E ALL(最不严谨的) 、~E NOTICE 、~E STRICT、~EDEPRECATED(可以自由组合) 生产环境使用:E ALL & ~E_ NOTICE就可以。
日志级别的定义解释:
E_ALL (Show all errors, warnings and notices including coding standards.) ; E_ALL & ~E_NOTICE (Show all errors, except for notices) ; E_ALL & ~E_NOTICE & ~E_STRICT (Show all errors, except for notices and coding standards warnings.) ; E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR (Show only errors)检测并重载配置文件:
[root@localhost /]# /usr/local/apache2.4/bin/apachectl -t Syntax OK [root@localhost /]# /usr/local/apache2.4/bin/apachectl graceful配置好之后,只要有错误日志,就会记录在/tmp/php_errors.log 文件中。
如果没有生成错误日志则使用命令 grep error_log /usr/local/php/etc/php.ini 查看错误日志路径。然后按照这个路径创建一个文件并给文件加上777权限。
open_basedir
这是一个安全选项。当只要一个站点被人拿下,服务器上的其他站点就会跟着遭殃,设置open_basedir之后,虽然不能详细控制以某个用户运行某个站点,但至少不会再出现整个服务器被拿下的局面。open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径。
在/usr/local/php/etc/php.ini 是限制所有站点。如果一台服务器跑了多个站点,只能去虚拟主机配置文件里配置。
[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
在每台虚拟主机配置中加入下面内容,修改open_basedir 为DocumentRoot 的地址。 php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"说明: “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可!
在此开放“/tmp/”目录是为了使临时文件能正常写入。转载地址:http://vykja.baihongyu.com/