最近网络形势很严峻,很多网站要么感染木马病毒,要么是被黑客攻击,很大一部分都是通过网站的上传入口进行渗透,伪造合法文件,上传包含php、html、js等脚本文件,然后远程执行进行破坏。为了解决这个问题,一方面是在程序端上传文件部分进行文件类型限制,一部分是在服务端设置,禁止指定目录访问php、html、js等脚本文件。
该方法作为保底手段,也就是说,黑客即使利用各种技术上传了脚本文件,也让他无法执行。
具体方法如下:
Nginx设置方法
#禁止访问upload目录下的php、html、js文件
location ^~ /upload/ {
location ~ \.(php|html?|js)$ {
deny all;
}
}Apache设置方法
1.在upload目录下新建.htaccess文件。
2.编辑文件内容如下:
<FilesMatch "\.(php|html?|js)$">
Require all denied
</FilesMatch>以上两个方法,可以根据服务器环境进行设置。旨在禁止上传目录访问脚本文件,即使黑客上传了恶意文件,也让他无法执行。该方法可以极大的有效保护网站系统,各位站长快去试试吧。
有同学在群里提问,React有快速应用开发框架,比如nextjs+tailwind.css的技术框架,可以实现网页应用的快速开发。但又听说React开发的网站不太好,那么React到底适合做网站吗?今天丁老师给你解答。其实,目前国内的确...
经常使用Phpmailer来发信,作为事件的通知渠道,遇到过各种情况的问题,总结了一些经验和注意事项分享给大家:1.phpmailer使用ssl发信,无需在服务器中开启任何端口,无需在防火墙中开启端口;2.出现SMTP Error: C...
客户有这样一个需求,他们分别在丁老师这里开发了微信小程序和APP,最近想把小程序的流量和业务,往APP上转移,也就是准备实现品牌的私域流量,目前是使用图文+二维码的方式,引导用户去应用市场下载,现在是想实现在打开小程序的时候,自动唤起已...
丁老师软件,推出图片在线加水印功能,支持图片和PDF文件加水印,可以添加文字水印、图片水印,文字水印支持调整文字大小、文字颜色、位置、透明度等,添加水印后可以自动生成文件,可以下载。在线添加图片水印地址https://www.dls6.co...
这几年AI技术的发展已经达到新的高度,从提高个人生产力到企业操作效率的各个方面,AI都扮演着不可或缺的角色。无论是进行语言交流、内容创作、或是任务管理,都有相应的AI工具可以帮助我们更加轻松地完成工作。以下是丁老师觉得不错的AI工具推荐,希...
国外很多VPS购买后,只有密码,没有登录账号,如何登录呢?我们以one.com为例,购买了VPS后,只能设置密码,但是用root,也无法登录,是怎么回事呢?查了官方文档,原来修改的VPS密码,不是root的,这个VPS默认的账号是admin...
挺不错的浏览器,强加入了edge image viewer图片浏览器,感觉不是那么好,对于开发者来说,更想要原生的东西。包括微信网页版里的表情图片,用edge image viewer打开的话,无法保存为gif格式,即使保存了,也只是第一帧...
