如何配置Nginx多子目录下 统一目录名 upload 目录的php的执行权限
1个回答
展开全部
你的配置是错误的,存在安全漏洞,如果将php程序文件后缀改成gif, 发布到upload目录中,也有可能被执行的。
我们要做的是,upload目录下的任何文件(包括php文件,全不作解析执行),这样即便有人上传木马到upload,也无法执行,就安全得多。配置方法如下:
location ~ ^.*/upload/ {
}
将这个规则放在php后缀解析规则之前,这样就可以了,不要惊讶,空规则就可以了,因为正规表达式定义的location只匹配一次。
另外,你的网站文件所有者帐号是什么?php-fpm子进程以什么帐号运行?
我们要做的是,upload目录下的任何文件(包括php文件,全不作解析执行),这样即便有人上传木马到upload,也无法执行,就安全得多。配置方法如下:
location ~ ^.*/upload/ {
}
将这个规则放在php后缀解析规则之前,这样就可以了,不要惊讶,空规则就可以了,因为正规表达式定义的location只匹配一次。
另外,你的网站文件所有者帐号是什么?php-fpm子进程以什么帐号运行?
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
