鉴于
ProxyPassMatch ^/(.*\.php(/.*)?)$ fcgi://127.0.0.1:9000/var/www/$1
如何在假文件上传到文件夹中时防止恶意代码执行,然后通过
调用该文件夹http://www.foo.bar/uploads/malicious.jpg/fake.php
如果我理解正确,上面的请求将让Apache将它传递给将执行/uploads/malicious.jpg的PHP-FPM。
我知道我可以在uploads文件夹中添加一个删除ProxyPassMatch的.htaccess文件,但这是我的客户不知道的,他们最终可能会受到损害。
答案 0 :(得分:2)
php-fpm中有一个新的设置,因为php 5.3.9,'security.limit_extensions',它限制了php-fpm将执行的文件。默认为'.php',因此不会执行'malicious.jpg'。