神秘的.user.ini文件

最新推荐文章于 2025-05-21 18:52:32 发布
原创 最新推荐文章于 2025-05-21 18:52:32 发布 · 7.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #.htaccess #ini

本文详细解析了PHP中的.user.ini文件的作用及限制,介绍了如何通过.user.ini文件进行特定目录下的配置覆盖,以及解决因.user.ini引发的“No input file specified”错误。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

.user.ini究竟是个神秘东东?

我们看看官方怎么说:

http://php.net/manual/zh/configuration.file.per-user.php

自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。

小白表示没看懂~

众所周知,php.ini是php的核心配置文件,在 PHP 启动时被读取,那么web目录的其他ini文件也是可以被php识别,官方还说了

除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER[‘DOCUMENT_ROOT’] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

这样说的话,所有的配置都可以被.user.ini重新配置修改?噢,麦噶的

你想多了,官方还说了:

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIRPHP_INI_USER 模式的 INI 设置可被识别。

小白,又举手了,什么是PHP_INI_*模式呢?

官方是这样说的:

配置可被指定的范围(http://php.net/manual/zh/configuration.changes.modes.php )

这些模式决定着一个 PHP 的指令在何时何地,是否能够被设定。手册中的每个指令都有其所属的模式。例如有些指令可以在 PHP 脚本中用 ini_set() 来设定,而有些则只能在 php.ini 或 httpd.conf 中。

例如 output_buffering 指令是属于 PHP_INI_PERDIR,因而就不能用 ini_set() 来设定。但是 display_errors 指令是属于 PHP_INI_ALL 因而就可以在任何地方被设定,包括 ini_set()

PHP_INI_*模式的定义

模式	含义
PHP_INI_USER	可在用户脚本(例如 ini_set())或 Windows 注册表(自 PHP 5.3 起)以及 .user.ini 中设定
PHP_INI_PERDIR	可在 php.ini,.htaccess 或 httpd.conf 中设定
PHP_INI_SYSTEM	可在 php.ini 或 httpd.conf 中设定
PHP_INI_ALL	可在任何地方设定

也就是说只有PHP_INI_USER模式,才可以在 .user.ini 中设定,那么哪些配置可以在 .user.ini 中设定呢?

php.ini配置选项列表(http://php.net/manual/zh/ini.list.php )

有点意思,并不是所有的配置 .user.ini 都能修改,比如 disable_functionsupload_max_filesize

千年未解之谜,是不是在这里找到了答案?

  • 访问php页面出现“No input file specified”,尝试各种办法(https://jingyan.baidu.com/article/dca1fa6f8d623ff1a44052e8.html ) 无果,你是否开始怀疑自己人品,是否开始怀疑肾亏了,是否觉得自己这么年轻就不行了?

    绝望中,你是否发现你的网站目录中有个叫 .user.ini 的文件,一气之下,决定删了它,哦,没错,是个办法。

  • 啥? .user.ini 删不掉,是不是觉得自己真的不行了?

    [root@Tech1024]# rm -rf .user.ini 
rm: cannot remove ‘.user.ini’: Operation not permitted

    来看一下,该文件的属性

    [root@Tech1024]# lsattr .user.ini 
----i--------e-- .user.ini

    没错,文件被锁定了,不能修改,那么我们去除文件锁定属性

    [root@Tech1024]# chattr -i .user.ini

    是不是可以删除了,你是不是喜极而泣,啊,自己终于又行了。

  • 哎,小白可能觉得自己又不行了,怎么还是“No input file specified”啊?

    年轻人,别着急,看看官方吧(http://php.net/manual/zh/configuration.file.per-user.php )。

    user_ini.cache_ttl 控制着重新读取用户 INI 文件的间隔时间。默认是 300 秒(5 分钟)。

    ……

    5分钟艰难的过去了,你是否再一次喜极而泣:哎,自己终究还是行了。

.user.ini有什么用呢?

好奇请猛戳 https://lnmp.org/faq/lnmp-vhost-add-howto.html#user.ini

最后

作为一个IT职业人,不论从事什么行业,铭记两点 技术和态度,技术决定了你的存在,态度决定了你能存在多久。

原文 https://tech1024.com/original/2949

文件上传漏洞中的.user.ini文件
weixin_65279640的博客
04-18 1730
因此,正确配置 PHP 和服务器权限,以及限制对上传目录的访问,是非常重要的。文件允许用户为特定目录定义 PHP 配置指令,这些配置指令将在该目录及其所有子目录中的 PHP 脚本执行时生效。这样,不同的应用程序或用户可以在自己的目录中设置特定的 PHP 配置,而不影响整个服务器的配置。文件PHP 中用于配置特定目录的设置的特殊文件。如果服务器上的 PHP 没有正确配置,那么每当有 PHP 文件在这个目录下被访问时,文件PHP 服务器上,他们可能会利用这个文件来改变服务器的配置,例如修改。
Python中“暂停”(time.sleep?input?)
m0_57158496的博客
11-23 1294
input函数最是经典,在多种实现中简单粗暴单纯而经济。(笔记模板由python脚本于2024年11月22日 10:58:38创建,本篇笔记适合比较熟悉python的coder翻阅)【学习的细节是欢悦的历程】Python官网Free:大咖免费“圣经”教程python 完全自学教程,不仅仅是基础那么简单……自学并不是什么神秘的东西,一个人一辈子自学的时间总是比在学校学习的时间长,没有老师的时候总是比有老师的时候多。——华罗庚HOT好文力荐Python中“暂停”
.user.ini
qq_53086690的博客
06-17 173
文件上传不能上传php文件时,可以利用.user.ini文件进行对文件的包含 auto_prepend_file=1.jpg 然后再上传1.jpg一句话木马
user.ini文件构成的PHP后门
最新发布
井底之蛙见世界
05-21 73
本文介绍了利用.user.ini文件构造PHP后门的技术。相比常见的.htaccess后门,.user.ini适用范围更广,支持nginx/apache/IIS等多种以fastcgi运行的PHP环境。通过设置auto_prepend_file或auto_append_file指令,可以自动在所有PHP文件前后包含指定文件(如webshell)。该技术无需重启服务,修改后300秒内自动生效,适用于限制上传.php文件的场景或隐藏后门。文中详细解析了.user.ini的工作原理,并验证了在IIS和Nginx环境
!!!!!!! .user.ini 文件 !!!!!!
m0_37477061的博客
03-19 294
PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用.htaccess文件有同样效果。 除了主php.ini之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 ...
.user.ini文件
benben0729的专栏
03-14 1111
官方介绍 自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一...
php user.ini详解
HAI_WD的博客
08-25 2401
本篇主要是讲解分析一下user.ini相关的内容。因为这个知识点涉及到文件上传的绕过。
【安全加固】:2招保护INI文件不被侵入
![【安全加固】:2招保护INI文件不被侵入]...通过对INI文件的组成、常见安全问题及其成因进行详细分析,包括注入攻击、权限滥用和配置错误等漏洞类型,本文提出了基
深入解析:VB.NET读取INI文件的5大最佳实践
![深入解析:VB.NET读取INI文件的5大最佳实践]...接着,本文深入讨论了VB.NET读取INI文件的实践技巧,涵盖了使用ConfigurationManager读取
【BLHeil_S项目深度剖析】:源代码到执行文件神秘之旅
[【BLHeil_S项目深度剖析】:源代码到执行文件神秘之旅](https://www.equestionanswers.com/dll/images/dynamic-linking.png) # 摘要 BLHeil_S项目旨在构建一个高效、可扩展的系统架构,涵盖了从基础架构设计到...
嵌入式Keil Mini2440点灯配置:S3C2440.s差异揭秘
这里提到了一个名为S3C2440.sct的神秘文件,可能是用户自定义的配置文件,建议将其放置在工程目录中。 3. Debug配置:这部分涉及到设置调试器的速度和内存映射,Incremental选项需要根据工程名称进行修改。Ext_RAM....
.user.ini配置文件
m0_52051132的博客
12-10 1352
user.ini。它比.htaccess 用的更广,不管服务器是 nginx/apache/IIS,当使用 CGI/.user.ini 文件作用:所有的 php 文件都自动包含 test.jpg 文件.user.ini 相当于一个用。类似于 apache 的.htaccess,但语法与.htacces 不同,语法跟 php.ini 一致。FastCGI 来解析 php 时,php 会优先搜索目录下所有的.ini 文件,并应用其中的配置。再上传一个内容为 php 一句话脚本,命名为 test.jpg。
.user.ini 作用和配置
热门推荐
冰恋云的专栏
04-08 1万+
.htaccess是伪静态环境配置文件,用于lamp。 .user.ini是lnmp文件,里面放的是你网站的文件夹路径地址。目的是防止跨目录访问和文件跨目录读取. 配置 放在根目录 .user.ini open_basedir=/项目路径/:/tmp/:/proc/ 例:open_basedir=/www/aaa/:/tmp/:/proc/ 测试: 没...
[文件上传]浅析.user.ini的利用
cosmoslin的博客
10-16 9828
.user.ini php.iniphp的一个全局配置文件,对整个web服务起作用;而.user.ini.htaccess一样是目录的配置文件.user.ini就是用户自定义的一个php.ini,我们可以利用这个文件来构造后门和隐藏后门。 实例 php 配置项中有两个配置可以起到一些作用 auto_prepend_file = <filename> //包含在文件头 auto_append_file = <filename> //包含在文件
文件上传-.user.ini利用
feiwujiushiwo的博客
08-13 824
php.iniphp的全局配置文件,对整个web服务起作用.user.ini.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件
文件上传-.user.ini的妙用
A_991128a的博客
03-15 1539
小伙伴们大家好!本期为大家带来的是在文件上传漏洞中的妙用。.user.ini.user.ini的妙用原理利用.user.ini的环境实战演示​1、先尝试直接上传webshell2、看是否能够上传除php和png外的文件3、上传.user.ini文件4、再次尝试上传webshell5、测试上传的.user.ini与webshell是否能够正常生效6、使用连接工具连接webshell。
.user.ini.htaccess
qq_43335965的博客
05-29 70
.user.ini .user.ini的使用条件 (1)nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法 php配置访问级别 不同的php配置项根据其访问级别具有不同的配置方式,根据php手册的描述,有下列四种访问级别,不同的访问级别对应的配置方式如下表: 模式 含义 PHP_INI_USER 可在用户脚本(例如ini_set())或 Windows 注册表...
文件上传.user.ini使用
09-10
### 回答1: `user.ini` 是一个 PHP 配置文件,用于自定义 PHP 环境的设置。它可以用来覆盖 php.ini 中的设置。在使用文件上传时,你可以使用 `user.ini` 文件来设置上传文件大小限制等参数。 以下是在 `user.ini` 中设置文件上传大小限制的示例: ``` upload_max_filesize = 20M post_max_size = 20M ``` 这会将上传文件的最大大小限制设置为 20MB。请注意,`upload_max_filesize` 和 `post_max_size` 必须设置为相同的值,以确保文件上传正常工作。 你需要将 `user.ini` 文件放置在需要自定义 PHP 环境的目录中。例如,如果你希望更改在 `/var/www/html` 目录中运行的应用程序的 PHP 环境设置,则可以将 `user.ini` 文件放置在 `/var/www/html` 目录中。 请注意,如果使用的是共享主机,你的主机可能不允许使用 `user.ini` 文件来自定义 PHP 环境设置。在这种情况下,请联系你的主机提供商以获取更多信息。 ### 回答2: 文件上传在Web开发中非常常见,用户可以通过网页将自己的文件上传到服务器上。然而,有时我们需要对上传的文件进行一些限制和配置,这就可以通过使用"user.ini"文件来实现。 "user.ini"是一个用于配置PHPini文件,它可以用来限制文件上传的大小、类型等。它的用法非常简单,只需要在PHP代码的同一目录中创建一个名为"user.ini"的文件即可。 在"user.ini"文件中,我们可以使用几个指令来配置文件上传的规则。例如,可以使用"upload_max_filesize"指令来限制上传文件的最大大小;使用"max_file_uploads"指令来限制一次上传的最大文件数量;使用"post_max_size"指令来限制POST请求的最大数据量。 通过修改这些指令的值,我们可以根据实际需求来控制文件上传的限制。例如,可以将"upload_max_filesize"设置为"2M",表示最大上传文件大小为2MB;将"max_file_uploads"设置为"5",表示一次最多上传5个文件。 另外,还可以使用"file_uploads"指令来开启或禁用文件上传功能。将其设置为"Off"可以禁用文件上传,而将其设置为"On"则可以启用文件上传。 总之,使用"user.ini"文件可以对文件上传进行一些基本的配置和限制。通过修改这个文件中的指令值,我们可以灵活地控制文件上传的行为,从而更好地满足我们的需求。 ### 回答3: 文件上传.user.ini 是一个 PHP 配置文件,用于配置 PHP 在上传文件时的一些相关设置。它是用于限制或允许上传文件的大小、类型以及其他相关的安全设置。 在使用文件上传.user.ini 之前,首先要确保你的服务器支持 PHP,并且你有合适的权限来编辑服务器上的 PHP 配置文件文件上传.user.ini 的使用分为三个步骤: 1. 打开文件上传.user.ini:通过一个文本编辑器,可以打开这个文件进行编辑。请注意,如果不存在该文件,你可以创建一个新文件,并将其命名为文件上传.user.ini。 2. 设置文件上传的配置:在文件上传.user.ini 中,你可以设置一些上传文件的相关参数。例如,你可以设置最大允许上传的文件大小、允许上传的文件类型等。这些配置将会影响到你的 PHP 程序在上传文件时的行为。 3. 保存配置文件:在你完成配置后,记得保存文件上传.user.ini 文件。然后将它放置在你的 Web 服务器的根目录下,以确保 PHP 程序能读取到这个配置文件。 需要注意的是,文件上传.user.ini 文件的配置只会对当前目录以及其子目录下的 PHP 程序起作用。这意味着你可以在不同的目录下使用不同的文件上传配置。 总而言之,文件上传.user.ini 可以方便地配置 PHP文件上传时的一些限制和安全设置。通过合理对其进行配置,可以提高服务器的安全性,并防止恶意用户上传不安全的文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值