我正在尝试让我的网络服务器更安全,现在我试图对目录遍历提出一种“障碍”,以便恶意用户如果找到了执行此类操作的方法就无法通过攻击。
我尝试这样做的方法是使用文件夹布局: (www是最远的apache被允许去。)
/www/public_html/ #public contents
/ #private contents
我找到了一种方法来拒绝web root之后的所有访问,但我需要像PHP这样的东西才能访问这样的私人文件
include '../private_file.php';
这是我到目前为止在apache2.conf中所拥有的:
<Directory />
Order Deny,Allow
Deny from all
Options None
AllowOverride None
</Directory>
<Directory /www/public_html>
Order Allow,Deny
Allow from all
</Directory>
有谁知道我怎么能这样做?
答案 0 :(得分:1)
<Directory>限制仅控制通过HTTP访问,而不是通过Web服务器中运行的脚本访问。他们不是你想要的。
您正在寻找的是PHP open_basedir配置选项。