设置open_basedir防止跨站攻击

已于 2023-02-06 13:59:28 修改
阅读量1.4k 收藏 2
点赞数
分类专栏: PHP 文章标签: php 开发语言
于 2023-02-06 13:54:04 首次发布
原文链接:https://blog.youkuaiyun.com/hpsiling/article/details/118441340
版权
通过open_basedir配置,可以限制PHP脚本只能访问特定目录下的文件,防止跨站攻击。在宝塔面板中,启用此设置并在.user.ini文件中进行配置,可以增强多站点服务器的安全性。需注意文件的权限管理,确保不可随意修改。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述
通过设置open_basedir将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。
当一个脚本试图打开一个文件时,该文件的位置将被检查。
当文件在指定的目录树之外时 PHP 将拒绝打开它。

特别是当服务器上有多个网站时,非常有必要设置open_basedir,防止黑客跨站攻击。

宝塔中的open_basedir设置


在宝塔中设置open_basedir很方便,找到对应的网站点击设置; 

 

勾选上防跨站攻击则开启了open_basedir;网站根目录下将出现一个.user.ini 

 

.user.ini文件需要修改,该默认有权限限制及不可修改

通过命令:

      chattr -i .user.ini 解除文件不可修改权限,就可以删除.user.ini这个文件了;

将编辑好的文件上传,然后使用 chattr +i .user.ini 重新恢复文件不可更动属性

宝塔软件搭建ThinkPHP6.0项目,出现open_basedir相关报错,亲测有效的解决方法
森森
01-26 2112
宝塔软件搭建ThinkPHP6.0项目,open_basedir报错,亲测有效方法 前言:YFCMF-TP6是YFCMF-TP6是基于ThinkPHP6和YFCMF的极速后台开发框架 我项目代码本地路径 我最近在安装YFCMF-TP6完整包时,报错信息如下 刚开始以为是源码包有bug,后面经过一番摸索,误会它了。 因为宝塔默认启用"防止跨站攻击"后,网站打不开,出现错误,主要原因是:我们用的PHP框架默认将首页放在public目录下,但open_basedir参数使用的变量为$docume
nginx跨站脚本攻击
清幽竹客
02-18 605
通过 Nginx 过滤请求中的常见 XSS 攻击字符(如scripteval等)可以有效阻止 XSS 攻击
nginx+php使用open_basedir限制站点目录防止跨站
热门推荐
wml
07-14 1万+
方法1)在Nginx配置文件中加入fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/:/proc/";通常nginx的站点配置文件里用了include fastcgi.conf;,这样的,把这行加在fastcgi.conf里就OK了。 如果某个站点需要单独设置额外的目录,把上面的代码写在include fastcgi.conf;
宝塔面板网站解决跨域安全问题
weixin_46216236的博客
04-11 612
发布文章 宝塔面板网站解决跨域安全问题
php open basedir设置防止跨站
xuejinliang的专栏
02-03 2968
通过在网站挂马,进入到PHP的目录,如果PHP打开了scandir方法的话,可以直接通过目录一级一级的像上面进入,此操作会造成很大的风险。 下面给出PHP的木马文件   //ini_set('display_errors',1);   @error_reporting(7);   @session_start();   @set_time_limit(0);   @set
open_basedir限制每个站点的目录范围,防止跨站
小男孩tom的博客
04-12 2589
open_basedir作用:将用户可操作的文件限制在某目录下; 配置时常出现的问题 :open_basedir restriction in effect fastcgi.conf中的修改 php.ini中的修改 Nginx中也需要进行一些改动: 在nginx 每个server下,加上 fastcgi_param PHP_VALUE "open_basedir=$document_r...
nginx php 护,nginx+php使用open_basedir限制站点目录防止跨站
weixin_30671363的博客
03-17 271
方法1)在Nginx配置文件中加入fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/:/proc/";通常nginx的站点配置文件里用了include fastcgi.conf;,这样的,把这行加在fastcgi.conf里就OK了。如果某个站点需要单独设置额外的目录,把上面的代码写在include fastcgi.con...
PHP 配置open_basedir 让各虚拟站点独立运行
10-29
这个配置项可以帮助防止恶意代码跨目录访问,从而提高服务器的安全性。尤其是在多站点环境中,确保每个虚拟站点只能访问其自身的文件,而不能触及其他站点的资源,对于防止数据泄露和保护服务器整体安全至关重要。 ...
LNMP下跨站、跨目录的安全设置,仅支持PHP5.3.3以上版本
09-15
总的来说,通过合理配置PHP的 `open_basedir` 以及定期更新管理脚本,你可以有效地提高LNMP环境下的安全性,防止跨站和跨目录攻击,保护服务器上的各个网站免受潜在威胁。同时,保持PHP版本的更新也非常重要,因为新...
protected-env-example:一个示例(Docker环境),显示了保护敏感信息免受PHP文件读取的攻击
05-17
该存储库是使用Apache的envvars以及外部文件和open_basedir进行设置的示例,以防止直接文件访问机密设置。 用法 克隆仓库并运行: docker-compose build; docker-compose up; 然后转到以查看输出。 这个怎么运作 ...
php文件包含目录配置open_basedir的使用与性能详解
10-20
下面小编就为大家带来一篇php文件包含目录配置open_basedir的使用与性能详解。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
php mysql可以跨站_PHP跨站open_basedir目录设置
weixin_42395213的博客
02-02 180
php为了安全性考虑,有一项 open_basedir设置。根据你web服务器环境,open_basedir可以在几个地方设置。首先 在php.ini中配置。;open_basedir =如果发现配置项前是有分号,表明php.ini中没有该设置。那就很可能是在 php-fpm 中的 fastcgi.conf中配置了。php-fpm中的配置会覆盖php.ini的配置。fastcgi_para...
宝塔thinkPHP项目的open_basedir设置
LordForce的博客
01-10 2202
宝塔 TP项目 配置open_basedir跨站攻击
PHPopen_basedir配置分析
qqww378155的专栏
05-05 896
<br /><br />open_basedir: 将用户可操作的文件限制在某目录下;<br />——————————————————————————–<br />如下是php.ini中的原文说明以及默认配置:<br />; open_basedir, if set, limits all file operations to the defined directory<br />; and below. This directive makes most sense if used in a per-di
【亲测】宝塔Apache环境open_basedir错误的正确设置
仿站、源码搭建/迁移技术博客
07-21 461
今天折腾了一下把服务器重装系统,然后安装宝塔面板玩玩,在服务器运营商配置好安全组后,一键搭建Apache环境还算顺利,确实比较方便。 把做的项目放上去一运行gg了,上来就报错: 误区:搜了半天怎么解决open_basedir报错,让改php.ini的都是胡扯! 正确思路:应该在网站设置里把‘跨站攻击’勾选去掉: 然后到软件管理——找到所安装的PHP——设置——重启即可: ...
php open_basedir设置以及关于安全
Ai大模型,odoo,idempiere,metasfresh,低代码,ecshop数据采集发布接口,zencart,lightinthebox,shopex 数据采集接口
10-17 961
#!/usr/bin/k4shifz 看了军神blog,回来研究的。 open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也可用符号"."来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。 举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/ot
<?php ini_set('open_basedir', '/var/www/html/'); error_reporting(0); if(isset($_POST['cmd'])){ $cmd = escapeshellcmd($_POST['cmd']); if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|?|wget|'|"|id|whoami/i', $cmd)) { system($cmd); } } show_source(FIL
最新发布
04-25
<think>嗯,用户想了解PHP中限制命令执行的正则表达式规则以及show_source函数的用法。首先,我需要回忆一下PHP中常见的命令执行函数,比如exec、shell_exec、system等,然后思考如何用正则表达式来检测或阻止这些函数的使用。 关于正则表达式规则,常见的做法是匹配这些危险函数的调用模式。例如,检测类似`exec(`或者`system(`这样的结构。可能需要考虑函数名后面跟括号的情况,并且要注意可能的变量函数调用,如`$func = 'exec'; $func(...);`,不过这种情况可能较难用正则完全覆盖。 另外,用户提到的引用[2]中提到了数组绕过preg_match的情况,所以正则规则需要考虑传入的参数是否为字符串,避免被数组绕过导致检测失败。例如,如果正则表达式是用来过滤用户输入,可能需要确保输入是字符串类型,否则preg_match会返回false,从而绕过检查。 然后是关于show_source函数的用法。这个函数用于显示文件的高亮源代码,类似于highlight_file。需要说明它的参数,可以是文件名或者文件句柄,以及返回值等。同时,要注意安全风险,比如如果用户能控制文件名参数,可能导致路径遍历或敏感文件泄露,所以使用时必须严格校验输入。 可能还需要结合引用[5]中的正则表达式元字符和函数,比如使用`\b(exec|system|shell_exec)\s*\(`来匹配函数名后跟括号的情况,并考虑转义字符和空格的可能性。同时,引用[4]中的IP匹配正则可能对编写其他模式有帮助,但这里主要关注函数名检测。 另外,用户提供的引用[1]中的替换示例,可能涉及到正则中的替换操作,但这里主要关注检测而不是替换。所以需要构造一个匹配危险函数调用的正则模式,并注意子模式的使用,但在这个场景下可能不需要替换,只是检测是否存在。 最后,要提醒用户,仅靠正则可能不够,还需要结合其他安全措施,如禁用危险函数、输入验证、设置open_basedir等。同时,show_source函数的使用建议避免动态文件名,或确保文件名是安全可控的。</think>### PHP限制命令执行的正则表达式规则 在PHP中限制命令执行,通常需要过滤敏感函数(如`exec`、`system`、`shell_exec`等)和特殊符号(如反引号\`\`、管道符`|`)。以下是常见的正则表达式规则: 1. **匹配危险函数调用**: ```php /\b(exec|system|shell_exec|passthru|popen|proc_open|pcntl_exec)\s*\(/i ``` - `\b`表示单词边界,避免误匹配类似函数名的子字符串。 - `\s*`匹配函数名后的任意空格。 - `\(`匹配左括号,确保匹配函数调用而非字符串[^2][^5]。 2. **匹配反引号执行命令**: ```php /`.*?`/ ``` - 反引号在PHP中会直接执行命令,需禁止其使用[^2]。 3. **匹配管道符或重定向符号**: ```php /(\||\>|\<|&)/ ``` - 防止通过管道符组合命令或重定向输出[^4]。 4. **御变量函数调用**(如`$func = 'system'; $func('ls');`): ```php /\$.*?\s*\((.*?)\)/ ``` - 需结合代码审计,动态函数调用可能绕过简单正则检测[^2]。 --- ### `show_source`函数用法 `show_source`函数用于高亮显示PHP源代码,功能与`highlight_file`相同。其语法为: ```php bool show_source(string $filename [, bool $return = false]) ``` - **参数**: - `$filename`:需高亮显示的文件路径。 - `$return`:若为`true`,函数返回高亮后的HTML代码而非直接输出[^1]。 - **示例**: ```php // 直接输出高亮代码 show_source('example.php'); // 返回高亮代码并保存到变量 $highlighted = show_source('example.php', true); ``` - **安全风险**: - 若文件名由用户输入控制,可能导致路径遍历攻击(如`show_source($_GET['file'])`),需严格校验输入[^2]。 - 建议禁用此函数或限制访问路径(通过`open_basedir`)[^3]。 --- ### 综合建议 1. **代码审计**:结合正则表达式静态扫描工具(如`preg_match`)检测危险函数[^2][^5]。 2. **禁用高危函数**:在`php.ini`中设置`disable_functions = exec,system,shell_exec,...`。 3. **输入过滤**:对用户输入进行白名单校验,避免动态执行文件名或命令[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值