Не работает движок .htaccess php_flag. Или я не понимаю, как это работает
Например, каталог с именем test размещен.htacess с единственным кодом в первой строке php_flag engine off
В test каталоге размещен файл test.php с этим кодом echo 1+3;
И в другом файле (main.php), помещенном include("test.php");
Откройте main.php и см. 4 (результат 1 + 3).
Добавлен AddType text/plain.php.phtml.php3. Тот же результат.
Я ожидал из-за php_flag engine off код php_flag engine off в test.php не будет выполнен.
Что нужно сделать, чтобы предотвратить выполнение кода в test.php?
Пытаясь предотвратить ситуацию, когда хакер в каталоге изображений каким-то образом загружает php файл, то либо напрямую получает доступ к файлу, либо включает файл в другой файл.
Меры:
1) Создал несколько проверок, чтобы проверить, является ли загруженный файл изображением и не содержит какой-либо PHP-код.
2) Отключить прямой доступ к каталогу изображений (в htaccess)
3) Чтобы быть уверенным, что хакер не мог включить загруженный php файл в файл в другом каталоге, так как понимать нужно установить только чтение для всех каталогов, за исключением каталога изображений
1 ответ
Директивы.htaccess относятся только к Apache при обработке запроса. Это не позволит Apache напрямую выполнять файл test.php (вернее, это предотвратит выполнение PHP, когда Apache вызывает его). Однако, если Apache выполняет скрипт в другой папке, у вас есть исполняемый экземпляр PHP. Этот экземпляр может делать все, что захочет. Он не будет интерпретировать дальнейшие файлы.htaccess или рассматривать какие- php_flag директивы php_flag, поскольку они применяются только до того, как PHP был запущен. После запуска он работает.
Файлы.htaccess интерпретируются Apache только следующим образом:
- заданный путь:/
/foo/bar/test.php - Apache проверяет, существует ли
/.htaccess, применяет его правила, если это так - Apache проверяет, существует ли
/foo/.htaccess, применяет его правила, если это так - Apache проверяет, существует ли
/foo/bar/.htaccess, применяет его правила, если это так
PHP, с другой стороны, просто включает в себя foo/bar/test.php, он не ищет или не интерпретирует файлы.htaccess.
Ещё вопросы
- 0Итоги с подгруппами
- 0C ++, как объединить, объединить, пересечь два объекта Vector в новый третий объект?
- 0session_start неисправность php
- 1Влияет ли размер приложения Android на неиспользуемый импорт?
- 1Android Studio 3.4 Hello World ОШИБКА: подключен плагин 'java', но он не совместим с плагинами Android
- 0Перекрасить текст на основе «флажка», выбрать номер и последовательность в HTML + JS
- 1Как поделиться кодом котлина в IntelliJ IDEA между рабочим столом, android и сервером?
- 1как вызвать функцию js из c # wpf
- 1Получить локализацию Windows для .NET перечислений
- 0Запутанная таблица CSS
- 1Установить Enum Array на основе другого массива Enum в той же модели - Mongoose
- 0Обслуживание синхронных и асинхронных задач в порядке (последовательности) с помощью $ .queue ()
- 1сохранить номера диапазонов
- 0добавление данных в таблицу из базы данных
- 1Невозможно отсортировать данные с Comparator в Android
- 0Как вывести блок div при наведении курсора на тег span в разделе?
- 0Скрытие ближайшего div с указанным классом
- 1Передача сообщений между пулами процессов в многопроцессорной Python
- 0PHP require_once не работает
- 1Отображение изображения в режиме просмотра изображений, сделанных камерой в Android
- 0использование поля со списком для заполнения другого поля со списком, чтобы пользователь мог выполнить запрос
- 0PHP - Symfony2 Функциональное тестирование HTTPS-маршрутов
- 0Невозможно связаться с GraphicsMagik
- 0содержание аккордеона не отображается - JQuery
- 0Найти повторяющиеся значения concat
- 0Данные успешно удалены из БД, но не обновили текущую страницу в AngularJS
- 0Как восстановить привязки обработчиков событий в jQuery после частичной обратной передачи в salesforce?
- 1indexOf и BufferedReader не работают для меня
- 1Датагрид привязка МВВМ
- 0jQuery UI-dialog- настройка кнопок динамически и передача значений в функцию
- 1Как передать несколько аргументов из фрейма данных pandas в функцию и вернуть результат в фрейм данных в определенных местах в фрейме данных
- 1Как создать AWC по умолчанию в AWS через aws-java-sdk
- 0PHP MySQL: правильный / простой способ реализации динамической фильтрации
- 0Можем ли мы использовать Qt (64) для создания приложения, которое будет работать как на 32-битных, так и на 64-битных окнах?
- 1Фрагменты ConstraintLayout вырезаны в FrameLayout активности
- 1Как определить, что для fillStyle был назначен недопустимый цвет?
- 1System.DayOfWeek enum - ошибки сущностей при сохранении с проблемами KnownType; DevForce 2012
- 1Открыть тип файла (xml) с помощью приложения clickonce
- 0Как перекомпилировать WinSCP без финализатора
- 0Почему я должен использовать «ближайший», когда есть только один элемент с указанным именем класса?
- 0Как сделать переменную javascript глобальной в api phoneGap [duplicate]
- 1Негативное правило для EJB WS
- 1Как сделать v-for итерацию в определенном порядке?
- 0Как использовать Apache Marmotta SPARQL веб-сервис API с AngularJS?
- 0MVC ListBox Выбранный элемент в Jquery Load функция
- 0C ++ - Изменить приватный член вне класса
- 1AccessViolationException при добавлении элемента в список
- 1Возможная ошибка с внедрением зависимости на MvvmCross
- 1Валидатор диапазона не работает
- 1Сбой сборки при использовании AppsFlyer с ProGuard
main.phpнаходится вне каталога с файлом .htaccess?php_flag engine offв каталог, где находитсяmain.php?