设置PHP程序访问限制,彻底杜绝PHP木马入侵

PHPCMS平台的注入漏洞太多,防不胜防,为此我想了个设置PHP程序访问限制的方法。 只允许访问以下四个PHP程序: /index.php /admin.php /api.php /phpsso_server/index.php 其它一律禁止访问。 以下是apache中虚拟主机增加的重写定义: RewriteEngine On Rewr

PHPCMS平台的注入漏洞太多,防不胜防,为此我想了个设置PHP程序访问限制的方法。

只允许访问以下四个PHP程序:

/index.php

/admin.php

/api.php

/phpsso_server/index.php

其它一律禁止访问。 以下是apache中虚拟主机增加的重写定义:

     RewriteEngine On

     RewriteCond %{REQUEST_FILENAME} !(\.php$) [NC]

     RewriteRule ^.*$ - [NC,L]

     RewriteRule ^/index.php(.*)$ /index.php$1 [NC,L]

     RewriteRule ^/admin.php(.*)$ /admin.php$1 [NC,L]

     RewriteRule ^/api.php(.*)$ /api.php$1 [NC,L]

     RewriteRule ^/phpsso_server/index.php(.*)$ /phpsso_server/index.php$1 [NC,L]

     RewriteRule \.php$ - [NC,F]

 

我已经测试过:对静态网页没有影响,输入任何这四个PHP之外的PHP,全部返回403.

如果其它PHP程序需要运行,可以增加rewriterule定义允许其运行。

 

不允许增加的PHP程序运行还不能完全杜绝入侵,黑客还会修改现有的PHP程序。所以还要把以下文件及目录全部改成不能写入:

 

/index.php

/api.php

/admin.php

/plugin.php

/phpcms/

/api/

/phpsso_server/

 

在程序升级时再打开写入。

在这种情况下,黑客通过phpcms漏洞肯定是进不来的了。

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

在layui.css中加样式 : .layui-table th{font-weight: bold;} ,或者直接加在网页中即可。 style .layui-table th{ font-weight: bold;} /stylebodytable id="demo" lay-filter="demo" class="layui-hide"/table/body
今天在用php进行图片保存输出时候,图片一直显示错误,后面用调试模式下提示:Warning: Cannot modify header information - headers already sent by... 看了一些网上的方法也没解决,最后在php.ini配置output_buffering默认为4096就没有遇到这个错误了: o
ob_start()函数用于打开缓冲区,比如header()函数之前如果就有输出,包括回车/空格/换行/都会有Header had all ready send by的错误,这时可以先用ob_start()打开缓冲区PHP代码的数据块和echo()输出都会进入缓冲区而不会立刻输出.当然打开缓冲区的作用很多,只要
第一种方法:用php的strpos() 函数判断字符串中是否包含某字符串的方法 if(strpos(www.genban.org,genban) !== false){ echo 包含genban; }else{ echo 不包含genban; } 第二种 使用了explode 用explode进行判断PHP判断字符串的包含代码如下: ?php $name = 00
/u 表示按unicode(utf-8)匹配(主要针对多字节比如汉字) /i 表示不区分大小写(如果表达式里面有 a, 那么 A 也是匹配对象) /s 表示将字符串视为单行来匹配
随机生成难点是在于如何避免碰撞,有人说用md5,GUID这些机制啊,当然可以,但是做为账号,看着有乱,而且生成位数也过长。 本方法只需要解决1秒内的并发碰撞就可以,因为固定头部采用的是unixtime时间,精确到秒,超过1秒,这个头部的时间肯定变化了。同时