44.限定某个目录禁止解析php、限制user_agent、php相关配置

ck1987

一、限定某个目录禁止解析php、限制user_agent、php相关配置

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

• 修改核心配置文件内容
  
  php_admin_flag engine off
  
  

/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful
　　禁止解析upload目录下的php文件

；

mkdir /data/wwwroot/123.com/upload/
cp /data/wwwroot/123.com/admin.php    /data/wwwroot/123.com/upload/example.php
curl -x127.0.0.1:80 www.123.com/upload/example.php

• curl测试时直接返回了php源代码，并未解析
  

　　或者

   

Order allow,deny
Deny from all


/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

　　禁止访问upload目录下的php文件；

• 测试显示403禁止访问；
  二、限制user_agent
  

　　user_agent可以理解为浏览器标识
user_agent为什么可以做访问控制呢？
背景：比如网站受到cc***。***的人通过软件或者肉机，想***某个网站的时候，把所有的肉机发动起来，让它们同时访问一个站点。但是cc***往往有一个特征，就是user_agent一致的，访问地址一致。访问速度快，每秒N次

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
　　核心配置文件内容

   
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
RewriteRule  .*  -  [F]

• NC忽略大小写， [F] forbidden OR 禁止curl或者baidu.com.两个user_agent
  
  
• 　　curl -A "123123" 指定user_agent
  
  

/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful
curl -x127.0.0.1:80   www.123.com
curl -A '1231' -x127.0.0.1:80 www.123.com
curl -A 'baidu.com' -x127.0.0.1:80   www.123.com

• 本机默认user_agent和百度都禁止访问，随机指定一个则可以访问
  三、 php相关配置
  

　　查看php配置文件位置

vim /data/wwwroot/123.com/123.php

　　通过浏览器查看配置文件信息

　　如果配置文件不存在就要去模板目录下复制一份；

• 　　修改php配置文件
  
  vim /usr/local/php/etc/php.ini
  
• date.timezone --定义时区   
  ate timezone=Asia/Shanghai
  

• disable_functions  --禁用函数
  

　　以下为通常需要禁用的函数
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close

• error_log  --日志路径
  
• log_errors --是否开启日志
  
• display_errors  --是否前台显示错误信息（如：将phpinfo加入禁用函数名单，访问一个phpinfo的php文件，如果此选项开启，那么会显示错误信息，如果此选项关闭，则什么也不显示）
  
• error_reporting --定义日志级别  通常为  E_ALL & ~E_NOTICE
  

• open_basedir  修改ini是对所有网站生效  修改虚拟主机配置才是对单个网站，作用在于限制php访问权限，一般在虚拟主机配置中限制相应账户即可。
  
• 
  

vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

php_admin_value open_basedir "/data/wwwroot/123.com:/tmp/"

　　设置表示允许访问当前目录(即PHP脚本文件所在之目录)和/tmp/目录,可以防止php***跨站