更改php和nginx对上传文件的限制+php应禁用的高危函数

最新推荐文章于 2025-03-05 00:00:00 发布
最新推荐文章于 2025-03-05 00:00:00 发布
阅读量1.1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: nginx php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaoying5191/article/details/80339779
本文详细介绍了php.ini文件中关于文件大小及时间限制的配置项,如post_max_size、upload_max_filesize等,以及禁用的潜在危险函数列表。同时涵盖了nginx配置文件nginx.conf中的关键设置,如-client_max_body_size。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

php.ini文件大小时间限制

  • post _max_size = 60m 可接受最大post数据(表单提交最大数据包括标题内容附件等)
  • file_uploads = On允许上传
  • upload_max_filesize = 50m允许上传单个文件最大值
  • max_execution_time = 300上传文件最大等待时间
  • max_input_time = 600

php.ini文件禁用危险函数

disable_functions = 
phpinfo,#php环境信息 
passthru,#允许执行一个外部程序并回显输出类似exec()
exec,#允许执行外部程序shell cmd等
system,#允许执行一个外部程序并回显输出,类似于 passthru()
chroot,#可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式
scandir,#列出指定路径中的文件和目录
chgrp,#改变文件或目录所属的用户组
chown,#改变文件或目录的属主
shell_exec,#通过shell执行命令并将结果作为字符串返回
proc_open,#执行一个命令并打开文件指针用于读取以及写入
proc_get_status,#获取使用 proc_open() 所打开进程的信息
ini_alter,#是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同
ini_alter,#可用于修改、设置 PHP 环境配置参数
ini_restore,#可用于恢复 PHP 环境配置参数到其初始值
dl,#在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块
openlog,
syslog,#可调用 UNIX 系统的系统层 syslog() 函数
readlink,
symlink,#在 UNIX 系统中建立一个符号链接
popepassthru,
stream_socket_server,#建立一个 Internet 或 UNIX 服务器连接
escapeshellcmd,
dll,
popen,
disk_free_space,
checkdnsrr,
checkdnsrr,
getservbyname,
getservbyport,
disk_total_space,
posix_ctermid,
posix_get_last_error,
posix_getcwd,
posix_getegid,
posix_geteuid,
posix_getgid90, 
posix_getgrgid,
posix_getgrnam,
posix_getgroups,
posix_getlogin,
posix_getpgid,
posix_getpgrp,
posix_getpid, 
posix_getppid,
posix_getpwnam,
posix_getpwuid,
posix_getrlimit,
posix_getsid,
posix_getuid,
posix_isatty,
posix_kill,
posix_mkfifo,
posix_setegid,
posix_seteuid,
posix_setgid, 
posix_setpgid,
posix_setsid,
osix_setuid,
posix_strerror,
posix_times,
posix_ttyname,
posix_uname

nginx配置文件nginx.conf

可加在http{}段,可加server{}段,可加在locatio{}段
区别:
http控制所有nginx收到的请求
server控制server收到的请求
location控制location收到的请求
- client_max_body_size 50m;限制上传文件大小
- server_tokens off;关闭版本号

五个案例“熄灭”Nginx漏洞隐患
qq_40907977的博客
05-19 1129
转载来源 :五个案例“熄灭”Nginx漏洞隐患 :http://www.safebase.cn/article-259057-1.html 摘要: Nginx从2004年10月发布至今,已经趋于成熟完善。在连接高并发的情况下,Nginx是Apache服务不错的替代品,作为一款分布式轻量级的中间件Nginx也是存在大量的漏洞的。 下面我们针对常见的漏洞来进行探讨。01目录遍历漏洞漏洞介绍Nginx的目录遍历漏洞属于配置不当导致的漏洞,错误的配置使得目录被遍历 … Nginx从2004年10月发布至今,已
php上传禁止php_如何在ApacheNginx禁止上传目录里PHP的执行权限
weixin_35971306的博客
03-09 324
Apache下禁止指定目录运行PHP脚本在虚拟主机配置文件中增加php_flag engine off指令即可,配置如下:Options FollowSymLinksAllowOverride NoneOrder allow,denyAllow from allphp_flag engine off另外一种方法,是设置在htaccess里面的,这个方法比较灵活一点,针对那些没有apapche安全操...
php上传禁止php_PHP 文件上传限制问题
weixin_39934085的博客
03-09 529
PHP文件上传占用大量资源,因此需要对上传的大小进行限制,以下为相关的三个参数:client_max_body_sizeupload_max_filesizepost_max_size与以上相对的三个报错信息:Warning: POST Content-Length of 9663102 bytes exceeds the limit of 8388608 bytes in Unknown ...
NGINX:禁止上传目录执行php文件防止webshell
weixin_34008784的博客
05-30 1841
在apache下做如下设置: 以apache 模块方式运行 PHP <Directory /www/www.example.com/upload> php_flag engine off </Directory> <Directory ~ "^/www/.*/upload"> <Files ~ ".php"> ...
禁止上传php,php.ini禁止上传怎么办
weixin_39599046的博客
03-10 398
php.ini禁止上传的解决办法:首先打开“php.ini”配置文件;然后修改内容为“file_uploads=On”;接着设置上传文件的上限;最后把服务器缓存上限调大即可。php.ini禁止上传这个该是上传文件超过了2M,即PHP默认的最大上传大小,你可以设置下。配置php.ini文件 (以上传500M以下大小的文件为例)查找以下选项并修改->file_uploads = On ;打...
Web文件包含实现RCE技术详解:日志、phpinfosession三种方法
vortex5的博客
03-05 940
PHP本地文件包含(LFI)漏洞可被利用实现远程代码执行(RCE),本文分析了三种典型攻击路径: 日志文件包含:利用Web服务器日志记录User-Agent等可控字段的特性,通过LFI漏洞包含日志文件执行恶意代码,需满足日志可读且PHP解析的条件。防御措施包括限制日志权限严格过滤文件包含参数。 phpinfo泄露临时文件:通过文件上传生成临时文件,结合phpinfo页面泄露路径LFI漏洞执行代码,依赖file_uploads开启临时文件可读。建议禁用phpinfo页面并限制临时目录访问。 PHP Se
如果上传图片的地方上传php文件,但是打开之后只能下载文件,而看不到内容那么这里有没有漏洞
最新发布
03-19
修复建议包括白名单验证扩展名、重命名文件、设置安全响头、存储在非web目录、禁用危险函数等。 最后,确保回答结构清晰,分点说明问题解决方案,让用户逐步理解漏洞的存在对方法。这种情况确实存在潜在...
文件上传漏洞
qq_66597767的博客
04-24 2400
目录 文件上传漏洞原理 产生文件上传漏洞的原因 文件上传漏洞可被利用的必要条件 常见的防御方式 绕过方式 1)客户端Javascript检测 2)服务器MIME类型检测 3)后端黑名单绕过 1.本例来源upload-labs中pass-03 2.本例来源upload-labs中pass-04 3)利用后缀名大小写进行绕过 4)后缀名加空格来绕过 5)后缀名加点绕过 6)后缀名中加“::$DATA”绕过 7)利用双写后缀绕过 ​ 4)后端白名单检测绕过 5)服务...
phpmysql都正常显示版本了,安装php扩展依赖有什么用?
03-11
3. **安全加固**:禁用高危扩展如`exec`(通过`disable_functions`配置) --- **总结**:PHP扩展如同汽车的零部件——发动机(PHP核心)能启动,但缺少轮胎(扩展)则无法正常行驶。建议通过 `composer check-...
php nginx环境文件上传限制修改
chenghuadadao的博客
03-15 528
指通过表单POST给PHP的所能接收的最大值,包括表单里的所有值。# keepalive_timeout 的值最好也修改一下,否则phpmyadmin上传的时候很容易time out。一般地,设置好上述四个参数后,上传<=8M的文件是不成问题,在网络正常的情况下。每个PHP页面所吃掉的最大内存,默认8M。但如果要上传>8M的大体积文件,只设置上述四项还一定能行的通。
php禁止上传,PHP禁止某些类型的上传文件_PHP教程
weixin_39519741的博客
03-17 841
为了防止某些人将 exe 之类的可执行文件上传到服务器,我们可以编写程序判断上传文件的类型,然后不符合类型的文件将会拒绝上传。下面是实现这一功能的 PHP 程序:function ($file_name, $pass_type = array('jpg','jpeg','gif','bmp','png') ){// 允许文件类型的后缀组成的数组$file = $pass_type;// 截取上传文...
nginx 禁止目录运行php文件
jugt的博客
07-15 435
注意:下面代码要写在PHP引用配置的前面,
php nginx上传大小制,PHPNginx文件上传大小限制如何解决
weixin_36333893的博客
03-19 194
对于nginxphp环境的网站,php上传文件大小会受到多个方面的限制。一个是nginx本身的限制限制了客户端上传文件的大小.一个是php.ini文件中默认了多个地方的设置。解决php上传文件大小的限制,需做如下的修改。1、修改/usr/local/nginx/conf/nginx.conf 文件,查找 client_max_body_size 将后面的值设置为你想设置的值。例如:复制代码 代...
Nginx服务器+PHP修改文件上传的大小限制
XingyiGao的博客
04-24 2493
【前言】 我们在做web开发的时候,一般都会有上传文件这种操作,但是如果上传文件过大,就会出现以下的情况: 【解决方法】 第一步:修改Nginx服务器上传文件大小的限制。 (1)一般来说,要修改Nginx服务器上传文件大小的限制,需要修改nginx.conf配置文件。很多人可能不知道nginx.conf文件在哪个目录下,可以采用下面的命令来查找: root@iZ94
关于Nginx + PHP上传限制
shaogeng的博客
03-29 462
php上传文件限制涉及很多方面,大致归纳一下,有如下几个:
案例28-Nginx限制文件上传大小
Wzill
03-16 1791
师范学院钥匙用体测项目,体测项目使用之前需要把学生的信息导入到系统当中。但是由于学生比较多excel表格中有1.5w人的信息。文件比较到导致在上传的过程中上传失败,因为nginx限制文件上传的大小。一开始想到的解决方案是调整nginx的配置把限制调整到可以一次性传入1.5w学生信息的配置。解决问题要想出至少三种方案,在多种方案中选取一个最优的风险最小的。不要有一种方案就直接去做。对于问题的解决可以编写一个批量导入excel表格的入口,也可以使用多线程的方式把一个大的excel拆分成多个请求进行导入。
nginx处理文件上传限制
w172717的博客
04-17 364
nginx上传文件限制
设置nginx 防止上传恶意脚本
weixin_34242509的博客
07-19 911
nginx上也很简单,我们使用location。。如下:  复制代码 代码如下:   location ~ ^/upload/.*\.(php|php5)$  {  deny all;  }    其中upload换为你要设置的目录名字    这条规则的含义是匹配请求连接中开头是/upload/,中间匹配任意字符,结尾匹配.php或者.php5的页面,最后利用deny all...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值