有效防御PHP木马攻击的技巧

Home

Backend Development

PHP Tutorial

有效防御PHP木马攻击的技巧_PHP

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 01, 2016 pm 12:30 PM

usSkillattackefficientdefense

1、防止跳出web目录

　　首先修改httpd.conf，如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：

　　php_admin_value open_basedir /usr/local/apache
/htdocs

　　这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的错误：

　　Warning: open_basedir restriction in effect. File is in wrong directory in

　　/usr/local/apache/htdocs/open.php on line 4

　　等等。

　　2、防止php木马执行webshell

　　打开safe_mode，

　　在，php.ini中设置

　　disable_functions= passthru，exec，shell_exec，system

　　二者选一即可，也可都选

　　3、防止php木马读写文件目录

　　在php.ini中的

　　disable_functions= passthru，exec，shell_exec，system

　　后面加上php处理文件的函数

　　主要有

　　fopen，mkdir，rmdir，chmod，unlink，dir

　　fopen，fread，fclose，fwrite，file_exists

　　closedir，is_dir，readdir.opendir

　　fileperms.copy，unlink，delfile

　　即成为

　　disable_functions= passthru，exec，shell_exec，system，fopen，mkdir，rmdir，chmod，unlink，dir

　　，fopen，fread，fclose，fwrite，file_exists

　　，closedir，is_dir，readdir.opendir

　　，fileperms.copy，unlink，delfile

　　ok，大功告成，php木马拿我们没辙了，遗憾的是这样的话，利用文本数据库的那些东西就都不能用了。

　　如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

　　net user apache fuckmicrosoft /add

　　net localgroup users apache /del

　　ok.我们建立了一个不属于任何组的用户apche。

　　我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，重启apache服务，ok，apache运行在低权限下了。

　　实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

Vue开发注意事项：避免常见的安全漏洞和攻击Nov 22, 2023 am 09:44 AM

Vue是一种流行的JavaScript框架，广泛应用于Web开发中。随着Vue的使用不断增加，开发人员需要重视安全问题，以避免常见的安全漏洞和攻击。本文将讨论Vue开发中需要注意的安全事项，以帮助开发人员更好地保护他们的应用程序不受攻击。验证用户输入在Vue开发中，验证用户输入是至关重要的。用户输入是最常见的安全漏洞来源之一。在处理用户输入时，开发人员应该始

提高 Python 代码可读性的五个基本技巧Apr 12, 2023 pm 08:58 PM

Python 中有许多方法可以帮助我们理解代码的内部工作原理，良好的编程习惯，可以使我们的工作事半功倍！例如，我们最终可能会得到看起来很像下图中的代码。虽然不是最糟糕的，但是，我们需要扩展一些事情，例如：load_las_file 函数中的 f 和 d 代表什么？为什么我们要在 clay 函数中检查结果？这些函数需要什么类型？Floats? DataFrames?在本文中，我们将着重讨论如何通过文档、提示输入和正确的变量名称来提高应用程序/脚本的可读性的五个基本技巧。1. Comments我们可

使用PHP开发直播功能的十个技巧May 21, 2023 pm 11:40 PM

随着直播业务的火爆，越来越多的网站和应用开始加入直播这项功能。PHP作为一种流行的服务器端语言，也可以用来开发高效的直播功能。当然，要实现一个稳定、高效的直播功能需要考虑很多问题。下面列出了使用PHP开发直播功能的十个技巧，帮助你更好地实现直播。选择合适的流媒体服务器PHP开发直播功能，首先需要考虑的就是流媒体服务器的选择。有很多流媒体服务器可以选择，比如常

提高Python代码可读性的五个基本技巧Apr 11, 2023 pm 09:07 PM

译者 | 赵青窕审校 | 孙淑娟你是否经常回头看看6个月前写的代码，想知道这段代码底是怎么回事?或者从别人手上接手项目，并且不知道从哪里开始?这样的情况对开发者来说是比较常见的。Python中有许多方法可以帮助我们理解代码的内部工作方式，因此当您从头来看代码或者写代码时，应该会更容易地从停止的地方继续下去。在此我给大家举个例子，我们可能会得到如下图所示的代码。这还不是最糟糕的，但有一些事情需要我们去确认，例如:在load_las_file函数中f和d代表什么?为什么我们要在clay函数中检查结果

PHP中的CSRF攻击May 25, 2023 pm 08:31 PM

随着网络的不断发展，网页应用也越来越多，然而，安全问题也越来越引起人们的关注。CSRF（CrossSiteRequestForgery，即跨站请求伪造）攻击就是一种常见的网络安全问题。CSRF攻击是什么？所谓CSRF攻击，就是攻击者盗用了用户的身份，以用户的名义进行非法操作。通俗的讲，就是攻击者利用用户的登录态，在用户毫不知情的情况下，进行一些非法的操

Nginx防范脚本攻击的最佳方案Jun 10, 2023 pm 10:55 PM

Nginx防范脚本攻击的最佳方案脚本攻击是指攻击者利用脚本程序对目标网站进行攻击，以实现恶意目的的行为。脚本攻击的形式多种多样，如SQL注入、XSS攻击、CSRF攻击等等。而在Web服务器中，Nginx被广泛应用于反向代理、负载均衡、静态资源缓存等环节，在面对脚本攻击时，Nginx也可以发挥其优势，实现有效的防御。一、Nginx对脚本攻击的实现方式在Ngin

Python中简单易用的并行加速技巧Apr 12, 2023 pm 02:25 PM

1.简介我们在日常使用Python进行各种数据计算处理任务时，若想要获得明显的计算加速效果，最简单明了的方式就是想办法将默认运行在单个进程上的任务，扩展到使用多进程或多线程的方式执行。而对于我们这些从事数据分析工作的人员而言，以最简单的方式实现等价的加速运算的效果尤为重要，从而避免将时间过多花费在编写程序上。而今天的文章费老师我就来带大家学习如何利用joblib这个非常简单易用的库中的相关功能，来快速实现并行计算加速效果。2.使用joblib进行并行计算作为一个被广泛使用的第三方Python库(

四种Python推导式开发技巧，让你的代码更高效Apr 22, 2023 am 09:40 AM

对于数据科学，Python通常被广泛地用于进行数据的处理和转换，它提供了强大的数据结构处理的函数，使数据处理更加灵活，这里说的“灵活性”是什么意思?这意味着在Python中总是有多种方法来实现相同的结果，我们总是有不同的方法并且需要从中选择易于使用、省时并能更好控制的方法。要掌握所有的这些方法是不可能的。所以这里列出了在处理任何类型的数据时应该知道的4个Python技巧。列表推导式ListComprehension是创建列表的一种优雅且最符合python语言的方法。与for循环和if语句相比，列

See all articles