堆棧內存溢出
  簡體   English   中英

保護Apache和PHP-FPM

[英]Securing Apache and PHP-FPM

 原文  2013-11-24 22:39:14       apache/ security/ php

問題描述

特定 

ProxyPassMatch ^/(.*\.php(/.*)?)$ fcgi://127.0.0.1:9000/var/www/$1

當假圖像上傳到文件夾中時,如何防止惡意代碼執行,然后通過該文件夾進行調用 

http://www.foo.bar/uploads/malicious.jpg/fake.php

如果我理解正確,上面的請求將讓Apache將它傳遞給PHP-FPM,它將執行/uploads/malicious.jpg。

我知道我可以在uploads文件夾中添加一個刪除ProxyPassMatch的.htaccess文件,但這是我的客戶不知道的,他們最終可能會受到損害。

1 個解決方案

解決方案1
 2 已采納  2013-11-28 07:09:51

php-fpm中有一個新的設置,因為php 5.3.9,'security.limit_extensions',它限制了php-fpm將執行的文件。 默認為'.php',因此不會執行'malicious.jpg'。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Windows和php-fpm上的Apache Apache / Debian / PHP-FPM上的Nextcloud問題 無法在Apache工作時獲取php-fpm? Docker + Apache + PHP-FPM 靜態內容 Apache使用不同的Php-Fpm容器 Nginx / apache / php-fpm的配置問題 Apache + php-fpm:標題剝離了嗎? 使用Apache和PHP-FPM上傳文件 Apache 2.4和PHP-FPM套接字 Apache 2.4 + PHP-FPM 和授權標頭
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM