htaccess ป้องกันการรัน PHP ในบางแฟ้มที่ต้องการ

htaccess ป้องกันการรัน PHP ในบางแฟ้มที่ต้องการ

หลายเว็บ ตั้งค่า permission แฟ้มที่เก็บรูป ให้เป็น 777 ซึ่งเอาไว้รองรับการ upload และแน่นอน หาก hacker สามารถหาช่องโหว่เพื่อ upload script ขึ้นมาได้ นั่นก็หมายความว่า เค้าสามารถ upload อะไรก็ได้ขึ้นมาใส่ในแฟ้มนี้ (ไม่นับกรณีที่โดน php shell นะ)

ดังนั้น ทางที่ดี เราควรปิดแฟ้มรูปภาพให้ไม่สามารถรันไฟล์ php ได้ เพื่อไม่ให้สามารถรันไฟล์ตามที่ต้องการได้

งานนี้ เราก็เลยเอาไฟล์ .htaccess เข้ามาช่วย เพราะว่าเจ้า .htaccess สามารถสั่งให้ apache ทำงานพิเศษบางอย่างได้ครับ ด้วยโค้ดดังนี้

# deny access to all .php files <Files ~ "^.*\.([Pp][Hh][Pp])">  Order allow,deny  Deny from all  Satisfy All </Files>

นี่คือที่เราจะใช้งานครับ ก็คือ ห้ามรัน ไฟล์ที่ลงด้วย .php

วิธีการใช้ง่ายมาก แค่สร้างไฟล์จาก notepad แล้วตั้งชื่อว่า htaccess แล้วใส่โค้ดดังกล่าวเข้าใป

จากนั้น upload ใส่แฟ้ม image แล้ว rename ให้เป็น .htaccess เลยครับ ง่ายๆแค่นี้ไม่ต้องทำอะไรต่อ

การใช้ .htaccess จะใช้ได้เฉพาะกรณีที่ web server เป็น apache เท่านั้น ส่วน IIS ไม่สามารถใช้งานได้

Create: Modify : 2010-07-20 09:09:59 Read : 8018 URL :