如果上传目录被植入 PHP 文件,即可远程执行。为了安全起见,我们一般会对上传目录禁止运行 PHP 脚本。
在 Apache 下面我们可以通过一下方法来禁止运行 PHP 脚本:
<Directory /wp-content/uploads> php_flag engine off </Directory>
Nginx 方法如下:
location /wp-content/uploads/ { location ~ .*\.(php)?$ { deny all; } }
而对于多个目录的话,可以一起进行限定:
location ~* ^/(uploads|images)/.*\.(php|php5)$ { deny all; }
发表评论