php は私の PC に任意の php ファイルを要求できますか?
Apache www ルート フォルダーを d:\phpnow\htdocs に設定しました。以前は、このフォルダーの下にある php ファイルしか要求できないと思っていました。
今日、php が自分の PC に任意の php ファイルをロードできることがわかりました。必要なのはフルパスだけです。
防ぐ方法は?Web サーバーにとって安全ではありません。
3 に答える
2
PHP は、サーバー上のすべてのファイルをその制限内に含めることができます (存在する場合)。この場合、コンピュータがサーバーです。リモート サーバーはファイル システムにアクセスする方法がないため、これはセキュリティ上の問題ではありません。
于 2013-01-27T09:42:57.280 に答える
2
php は私の PC に任意の php ファイルを要求できますか?
PHP プログラムを実行するユーザーがアクセス権を持つすべてのファイル。(つまり、ファイルシステムのアクセス許可)。
防ぐ方法は?
ファイル システムのアクセス許可を制限するか、サーバーを chroot して、サンドボックス環境で実行されるようにします。(Windowsでchrootが可能かどうかはわかりません)
Web サーバーにとって安全ではありません。
次のいずれかでない限り、完全に安全です。
- 信頼されていないユーザーが PC に独自の PHP プログラムをインストールすることを許可します (ただし、「php を使用して共有サーバーをセットアップするために推奨するものは何ですか」も参照してください) 。
- フィルタリングされていないユーザー入力を介して、ファイルシステム上のファイルパスを選択できるようにします
于 2013-01-27T09:49:59.450 に答える
0
.htaccessApache で php を実行しているため、fileを使用してディレクトリへのアクセスを拒否できます。
インクルードフォルダー全体への直接アクセスをブロックしたい場合は、.htaccessファイルを置くことができます (ファイルには拡張子のみがあり、ファイル名はありません。メモ帳を使用してコードを入力し、絶対命名と呼ばれる引用符付きの「.htaccess」として保存できます)。 ) を含むそのフォルダに;
deny from all
ディレクトリの一覧表示を無効にする場合は、次のチュートリアルをご覧ください。
htaccess のディレクトリ リスト。.htaccess でのディレクトリ リストの許可、拒否、無効化、有効化
そして、このスタック オーバーフローの質問.htaccess deny access to folder を参照してください。
フォルダーアクセス拒否のGoogleだけを使用するhtaccessと、多くのものを見つけることができます。
于 2013-01-27T10:06:13.043 に答える