LNMP1.2 是否不用以前的防跨目录方法了?
我用的是PHP 5.4.41我发现每个虚拟主机根目录下都有一个 .user.ini文件,
这是否意味着默认已经开启防跨目录了?
如果要改虚拟主机目录名,就必须要改一下.user.ini文件中的路径吗?
军哥以前教的方法还需要用吗?
以前的方法是在php.ini文件结尾处添加。
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
[ 本帖最后由 wjhhxl 于 2015-6-12 19:56 编辑 ] 还有一个问题想问一下,
比如VPS上有三个虚拟主机。如 A, B, C 三个站,
如果删除了虚拟主机A 目录下的 user.ini
那么造成的结果究竟是以下三种情况的哪一种?
一:B和C站,都可以访问 A站目录,
二:A站可以访问 B和C站 目录
三:以上两种情况都会发生。
[ 本帖最后由 wjhhxl 于 2015-6-12 20:32 编辑 ] lnmp 默认都是开启的
改了目录必须要修改.user.ini
以前的方法完全适应 原帖由 licess 于 2015-6-12 20:59 发表 https://bbs.vpser.net/images/common/back.gif
lnmp 默认都是开启的
改了目录必须要修改.user.ini
以前的方法完全适应
我的意思是,现在有默认防跨目录了,还需要用以前的方法吗?
还有你这个用.user.ini方法 好像有漏洞,如果别人删除这个文件,那样是否就不起作用了。是否就能跨站?
如果一个简单的删除.user.ini操作,就能实现再次跨站,那这个方法就没什么作用了。。
回复 4# 的帖子
.user.ini只有root用户可以修改或删除 原帖由 licess 于 2015-6-13 09:11 发表 https://bbs.vpser.net/images/common/back.gif.user.ini只有root用户可以修改或删除
有一个可能,有的用户会用ROOT账号上传文件,上传的文件是属于root用户组,那么他上传后,会用一个命令给所有文件都设置用户组为www,
这样的操作很多人都会这样做,比如我也常这样做,
我就发现我有的目录下面的 .user.ini被我设置成了www用户组,权限为755
这样的话,或许就能删除了。。。
所以我觉得可能还是按以前的方法,在php.ini文件中加入代码是最好的,我现在就这样做了,虽然与现有的重复了,不知道有没有影响。
[ 本帖最后由 wjhhxl 于 2015-6-13 12:35 编辑 ]
页:
[1]