刚看到的apache的漏洞,可怕呀!!!

      应该是我孤陋了,刚看到了一个apache的漏洞,上传一个***.php.***的文件,可以被当作.php来执行,可以试一下,写入:,存成123.php.rar,然后在地址栏输入文件名,显示出来的真的是“hello”,我晕!木马文件轻而易举的就伪装了,太可怕了!

      对上传的文件做检查吧,还有个比较偷懒的方法,就是在.htaccess里临时禁止一下吧,在.htaccess里写入:
   
      order deny,allow
      deny from all
   

我又加了一句:RewriteRule ^(\w+).php.(\w+)$ index.php,双保险应该没事了吧!

你可能感兴趣的:(php,服务器)