有没有办法阻止用户编写代码以包含php文件,如果他们有权访问服务器?我不能从所有类型的解决方案中使用.htaccess拒绝,因为我理解它只适用于远程访问。我也无法使用Tyler Carter中描述的解决方案link,因为我处理了包含相应页面部分的一个中央调用的所有页面。因此,$ _SERVER [' PHP_SELF']始终返回相同的文件,而我无法在被调用脚本中获取调用脚本的 FILE 。所以这些工作都没有。
我只是想阻止我在中心文件中包含的部分本身不在自己的目录之外调用服务器上的其他文件。
我希望我错过了一些东西,这可以用.htaccess完成吗?
我想更大的问题是,这是否值得进行安全努力?
答案 0 :(得分:1)
否
如果用户有权将文件写入您的web-root,那么您无法阻止他/她创建PHP文件(没有编写自己的文件系统)。
如果您不信任用户,他们就无法写入您的FS。实际上,这种攻击在现实世界中常用于CMS安装。具有文件上载权限的用户上载PHP shell以接管服务器。