実際、Apache ユーザーが実行したいことのみを実行できるように各フォルダーの権限を設定し、ディレクトリごとに個別の読み取り/書き込みユーザーを作成することもできます。これは、多くの仮想ホスト プロバイダーで使用される一般的な構成方法でもありますが、これを防ぐために使用すると過剰になります。
1. Web ディレクトリからの飛び出しを防止します
最初に httpd.conf を変更します。php スクリプト プログラムが Web ディレクトリでのみ動作することを許可する場合は、httpd.conf ファイルを変更して php の操作パスを制限することもできます。たとえば、Web ディレクトリが /usr/local/apache/htdocs の場合、次の行を httpd.conf に追加します。
php_admin_value open_basedir /usr/local/apache
/htdocs
このように、スクリプトが /usr/local/apache/htdocs 以外のファイルを読み取ろうとした場合、エラー表示がオンになっていると、次のようなエラーが表示されます。
警告: open_basedir 制限が有効です。
の間違ったディレクトリにファイルがあります。/usr/local/apache/htdocs/open.php 4 行目
待ってください。
2. php トロイの木馬による Webshell の実行を阻止します
セーフモードをオンにしてください。
php.iniで設定します
disable_functions= パススルー、exec、shell_exec、システム
2 つのうちの 1 つを選択することも、両方を選択することもできます
3. PHP トロイの木馬によるファイル ディレクトリの読み取りと書き込みを防止します
php.ini のdisable_functions= パススルー、exec、shell_exec、システム
その後にphpファイル処理関数を追加
主に
が含まれますfopen、mkdir、rmdir、chmod、リンク解除、ディレクトリ
fopen、fread、fclose、fwrite、file_exists
closedir、is_dir、readdir.opendir
fileperms.copy、リンク解除、delfile
となります
disable_functions= パススルー、exec、shell_exec、システム、fopen、mkdir、rmdir、chmod、リンク解除、ディレクトリ
、fopen、fread、fclose、fwrite、file_exists
、closedir、is_dir、readdir.opendir
、fileperms.copy、リンク解除、delfile
OK、これで完了です。残念ながら、PHP トロイの木馬は私たちを倒すことができません。この場合、テキスト データベースを使用するものは機能しなくなります。
Apache が Windos プラットフォーム上に構築されている場合、Apache はデフォルトでシステム権限で実行されるため、不安を感じさせる点が 1 つあります。その場合は、Apache の権限を下げる必要があります。
ネットユーザー apache クソマイクロソフト /add
ネットローカルグループユーザー apache /del
わかりました。どのグループにも属さないユーザー apche を作成しました。
コンピューターマネージャーを開き、サービスを選択し、Apache サービスのプロパティをクリックし、ログオンを選択し、このアカウントを選択し、上記で作成したアカウントとパスワードを入力し、Apache サービスを再起動します。OK、Apache は以下で実行されます。低い特権。
実際、Apache ユーザーが実行したいことのみを実行できるように各フォルダーの権限を設定し、ディレクトリごとに個別の読み取り/書き込みユーザーを作成することもできます。これは、多くの仮想ホスト プロバイダーで使用される一般的な構成方法でもありますが、これを防ぐために使用すると過剰になります。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
