张文保的博客
张文保 · Paul Zhang

Engineering the Future

htaccess

禁止网站目录php脚本执行权限的配置方法

在安装完织梦DedeCMS后,进入后台主页会有安全提示uploads、data目录有PHP执行权限,我们可以用.htaccess文件来禁止指定目录的执行权限,在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
方法如下,新建.txt记事本文档,将下面内容复制粘贴到记事本,另存为的时候,编码选ANSI类型,保存类型选所有文件,文件名填.htaccess保存后上传到网站根目录即可。

RewriteEngine on
RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ – [F]

以上只是针对uploads、data、templets 三个目录做了执行php脚本限制,如果还有其它目录也需要,例如存放图片类的、JS、CSS、纯静态html文件的目录都可以做这个禁止PHP脚本执行的安全设置。

如果是apache环境独立主机的话,可以采用以下的办法:

<Directory "DIR">
<FilesMatch ".(php|asp|jsp)$">
    Deny from all
</FilesMatch>
</Directory>

复制以上内容张贴到httpd.conf文件里保存,dir为你要禁止的目录的绝对地址,例如E:\wwwroot\dedecms\uploads
FilesMatch后的内容为需要限定的执行的脚本后缀名,例如:这里需要禁止uploads文件夹下的PHP、ASP、JSP脚本的运行
在配置保存后,重启一下apache,配置便生效!

windows系统的主机,需要打开IIS中站点,在站点uploads目录、data目录以及静态html生成目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。

IIS7也类似于IIS6.0,选择站点对应的目录,data、uploads及静态html文件目录,双击功能试图面板中的“处理程序映射”

在“编辑功能权限……”中,我们直接去除脚本的执行权限即可。

相关文章
本文标题:《禁止网站目录php脚本执行权限的配置方法》
网址:https://zhangwenbao.com/method-of-disable-directory-permissions-for-php-directory-execution.html
作者:张文保
发布时间:2018-05-06
许可协议:CC BY-NC-SA 4.0
发表新评论
SSL安全认证