网站建设

宝塔防跨站攻击

宝塔环境下,php建站,会默认开启防跨站攻击功能

配置位置:宝塔面板=》网站=》php项目=》网站设置=》网站目录=》防跨站攻击(open_basedir)

开启这个,在网站根目录下,会有一个配置文件:.user.ini-----而且宝塔给这个文本有备注,PS:PHP用户配置文件(防跨站)!

里面的内容如下:

open_basedir=/www/wwwroot/网站目录名/:/tmp/


1.开启这个功能,有什么好处?

增加了一定安全性。

如果不开启这个功能,用宝塔搭建多个站点,有一个站点被植入木马了,会导致其他站点也被植入木马。

相反,如果开启了这个功能,他最多就只能控制当前这个网站,因为权限被限制在了当前这个网站目录下,

其它所有目录,他都没有权限访问。


2.开启这个功能,有什么坏处?

比如,用宝塔搭建了多个网站,在/www/wwwroot/这个目录下,放置了一个配置文件test.txt。

当我尝试所有网站,都读取/www/wwwroot/test.txt这个文件,就会读取不了

那么如何解决这个问题呢?

(1)可以修改.user.ini这个文件

它默认配置open_basedir=/www/wwwroot/网站目录名/:/tmp/

这个设置指定了两个目录:

/www/wwwroot/网站目录名/:这是网站根目录下的子目录。所有在该目录下的文件和子目录都是允许被 PHP 脚本访问的。

/tmp/:这是系统临时目录。PHP 脚本可以访问该目录下的文件。

因此,PHP 脚本可以在这两个目录下执行文件操作,包括读取、写入、删除等。

所以我们也可以再定义个open的文件夹,把公共文件都放到这个文件夹里。

然后修改配置open_basedir=/www/wwwroot/网站目录名/:/tmp/:/www/wwwroot/open/

这样,就可以解决了。需要注意的问题是,宝塔配置文件如果你取消勾选,然后又勾选,.user.ini这个文件就会被恢复成默认配置。

(2)也可以修改php的配置,在php.ini配置文件中,搜索open_basedir,然后在这里增加一个配置项open_basedir=/www/wwwroot/open/

(3)当然,如果对自己的网站足够自信,也可以直接关闭防跨站这个功能


编辑:

阅读量:20

url链接:https://www.qozr.com/cms_bao-ta-fang-kua-zhan-gong-ji.html

Tag标签: 宝塔

同类新闻

更多新闻

Copyright © 2007-2023 千欧中软 版权所有 https://www.qozr.com seo | 网站建设 [渝ICP备15005074号]