특정 폴더에서 PHP 실행 금지하기 > 개발자팁

개발자팁

개발과 관련된 유용한 정보를 공유하세요.
질문은 QA에서 해주시기 바랍니다.

특정 폴더에서 PHP 실행 금지하기 정보

MySQL 특정 폴더에서 PHP 실행 금지하기

본문

파일 업로드 기능을 제공할 경우 웹쉘 공격을 당할 가능성이 언제나 열려 있습니다. 

막는다고 이것저것 해봐도 누군가가 교묘하게 조작한 파일을 업로드하면 뚫려버리기 일쑤죠. 

 

만약 업로드한 파일들을 따로 모아두는 폴더가 있다면 

해당 폴더내에 .htaccess 파일을 만들어서 아래의 내용을 입력해 보세요. 

해당 폴더내에서 PHP, CGI 등을 실행하지 못하도록 막아줍니다. 

 

물론 다른 경로를 통해 include시키는 등의 복잡한 공격은 따로 또 막으셔야겠지만, 

업로드 폴더의 파일명을 직접 주소창에 적어서 웹쉘을 실행하는 가장 흔한 공격 방식은 

이것만으로도 원천봉쇄가 됩니다. 

 

[.htaccesss 파일 추가]

 

Options -ExecCGI

RemoveHandler .php .php3 .php4 .php5 .phtml .pl .cgi .htm .html

RemoveType .php .php3 .php4 .php5 .phtml .pl .cgi .htm .html

DefaultType application/octet-stream

<IfModule mod_php5.c>

    php_flag engine off

</IfModule>

추천
1

댓글 1개

전체 470
개발자팁 내용 검색 MySQL에서

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT