我们的论坛设置的用户上传文件是存放在/data/www/data/目录下

随便在我们的论坛上发个帖子，并上传一张图片

我们来找找看这张图片具体存在哪里：

[root@centos6 data]# cd p_w_upload/forum/

[root@centos6 forum]# ls -F

201701/

[root@centos6 forum]# cd 201701/

[root@centos6 201701]# ls -F

15/  index.html

[root@centos6 201701]# cd 15

[root@centos6 15]# ls

010620iksfhkkxvki105vd.jpg  index.html

可见用户上传的图片存放在

/data/www/data/p_w_upload/forum/201701/15/010620iksfhkkxvki105vd.jpg

在浏览器可以直接查看到这张图片，如果没有设置防盗链也可下载到该图片。

我们在/data/www/data目录下新建一个php文件

[root@centos6 ~]# cd /data/www/data/

[root@centos6 data]# vim info.php

phpinfo();

?>

不做任何限制的时候，服务器默认是可以解析该PHP文件的，这里是显示服务器的配置，如果是用户上传的php***或病毒，那么服务器就危险了。

我们需要关闭PHP解析引擎：编辑Apache的虚拟主机配置文件，对网站根目录下的data目录关闭其php解析引擎，只需添加如下代码：

[root@centos6 apache2]# vim conf/extra/httpd-vhosts.conf

……

Order deny,allow

Deny from all

Allow from 127.0.0.1

       php_admin_flag engine off

RewriteEngine on

RewriteCond %{HTTP_HOST} ^www.aaa.com$ [OR]

RewriteCond %{HTTP_HOST} ^www.bbb.com$

RewriteRule ^/(.*)$ http://www.test.com/$1 [R=301,L]

……

检查无误后重新加载配置文件：

[root@centos6 apache2]# apachectl -t

Syntax OK

[root@centos6 apache2]# apachectl graceful

再去访问该文件：

回车后直接把文件下载下来了

再来禁止下载PHP文件：

[root@centos6 apache2]# vim conf/extra/httpd-vhosts.conf

……

Order deny,allow

Deny from all

Allow from 127.0.0.1

php_admin_flag engine off

           Order deny,allow

           Deny from all

           Allow from 127.0.0.1

RewriteEngine on

RewriteCond %{HTTP_HOST} ^www.aaa.com$ [OR]

……

检查无误后重新加载配置文件

[root@centos6 apache2]# apachectl -t

Syntax OK

[root@centos6 apache2]# apachectl graceful

再去访问，发现403，也没下载，实现了我们的目的

使用curl命令测试，发现解析不出来PHP

[root@centos6 apache2]# curl -x127.0.0.1:80 www.test.com/data/info.php

phpinfo();

?>

这里也可以去掉Allow 127.0.0.1这条规则

[root@centos6 apache2]# vim conf/extra/httpd-vhosts.conf

……

Order deny,allow

Deny from all

Allow from 127.0.0.1

php_admin_flag engine off

           Order deny,allow

           Deny from all

RewriteEngine on

RewriteCond %{HTTP_HOST} ^www.aaa.com$ [OR]

……