如何配置Nginx多子目录下 统一目录名 upload 目录...
发布网友
发布时间:2022-04-20 22:25
我来回答
共1个回答
热心网友
时间:2024-08-24 15:33
你的配置是错误的,存在安全漏洞,如果将php程序文件后缀改成gif, 发布到upload目录中,也有可能被执行的。
我们要做的是,upload目录下的任何文件(包括php文件,全不作解析执行),这样即便有人上传木马到upload,也无法执行,就安全得多。配置方法如下:
location ~ ^.*/upload/ {
}
将这个规则放在php后缀解析规则之前,这样就可以了,不要惊讶,空规则就可以了,因为正规表达式定义的location只匹配一次。
另外,你的网站文件所有者帐号是什么?php-fpm子进程以什么帐号运行?
