Защита скриптов PHP

Question

У меня была ужасная проблема несколько дней назад. Я устанавливал обновления на своем сервере Ubuntu, который является хостом для примерно 10 веб-сайтов. Во время обновления что-то пошло не так, и apache mod_php отключился. В результате поддержка PHP прекратилась, и в течение нескольких минут (пока я не понял, в чем дело) пользователи получили приглашение загрузить сценарии PHP вместо просмотра веб-сайта. Само собой разумеется, нет ничего хуже, чем разоблачить ваши источники сценариев всему миру, особенно когда учетные данные базы данных хранятся внутри.

Вопрос: Как я могу настроить apache, чтобы такая ситуация не была возможна в будущем? Какие строки я должен добавить в apache2.conf, чтобы файлы PHP не могли быть загружены, если mod_php отключен?

Answer 1

Просто добавьте следующее в .htaccess в корневом каталоге

php_admin_flag engine on

В этом случае пользователь получит ошибку HTTP 500 при попытке прочитать любой файл из этого каталога и ниже, потому что ни один модуль не определяет директиву php_admin_flag, если mod_php выключен.

Answer 2

Более безопасный подход - это просто не помещать вещи, к которым вы не хотите обращаться, в корень документа.Смотрите мой ответ здесь , который предоставляет более подробную информацию;Основная идея заключается в том, что если вам не нужен файл, доступ к которому осуществляется через URL, не помещайте этот чертов файл в доступное для URL место.99% кода вашего приложения не должно находиться под корнем документа;тогда не имеет значения, что вы делаете со своей настройкой apache / php, вы все еще в безопасности.