宝塔防跨站攻击

宝塔环境下，php建站，会默认开启防跨站攻击功能

配置位置：宝塔面板=》网站=》php项目=》网站设置=》网站目录=》防跨站攻击（open_basedir）

开启这个，在网站根目录下，会有一个配置文件：.user.ini-----而且宝塔给这个文本有备注，PS：PHP用户配置文件（防跨站）！

里面的内容如下：

open_basedir=/www/wwwroot/网站目录名/:/tmp/

1.开启这个功能，有什么好处？

增加了一定安全性。

如果不开启这个功能，用宝塔搭建多个站点，有一个站点被植入木马了，会导致其他站点也被植入木马。

相反，如果开启了这个功能，他最多就只能控制当前这个网站，因为权限被限制在了当前这个网站目录下，

其它所有目录，他都没有权限访问。

2.开启这个功能，有什么坏处？

比如，用宝塔搭建了多个网站，在/www/wwwroot/这个目录下，放置了一个配置文件test.txt。

当我尝试所有网站，都读取/www/wwwroot/test.txt这个文件，就会读取不了

那么如何解决这个问题呢？

（1）可以修改.user.ini这个文件

它默认配置open_basedir=/www/wwwroot/网站目录名/:/tmp/

这个设置指定了两个目录：

/www/wwwroot/网站目录名/：这是网站根目录下的子目录。所有在该目录下的文件和子目录都是允许被 PHP 脚本访问的。

/tmp/：这是系统临时目录。PHP 脚本可以访问该目录下的文件。

因此，PHP 脚本可以在这两个目录下执行文件操作，包括读取、写入、删除等。

所以我们也可以再定义个open的文件夹，把公共文件都放到这个文件夹里。

然后修改配置open_basedir=/www/wwwroot/网站目录名/:/tmp/:/www/wwwroot/open/

这样，就可以解决了。需要注意的问题是，宝塔配置文件如果你取消勾选，然后又勾选，.user.ini这个文件就会被恢复成默认配置。

（2）也可以修改php的配置，在php.ini配置文件中，搜索open_basedir，然后在这里增加一个配置项open_basedir=/www/wwwroot/open/

（3）当然，如果对自己的网站足够自信，也可以直接关闭防跨站这个功能

编辑:

阅读量:19

url链接:https://www.qozr.com/cms_bao-ta-fang-kua-zhan-gong-ji.html

Tag标签: 宝塔