為了網頁的一些功能我們會允許使用者上傳檔案,但是有時候使用者會不小心或者是故意想要測試一下網站的安全性,因此就會上傳.php檔。
雖然我們應該在上傳的時候就做好檢查,但難免會有所疏忽,造成使用一樣可以把.php的檔案傳到主機上。
這時候我們可以在這些特定的目錄加上.htaccess,當然Apache要開啟允許自定義.htaccess的功能,然後在.htaccess中寫入
php_flag engine off
這樣一來,即便使用者上傳了.php檔到這些目錄,執行之後就只會顯示PHP的原始碼,不會真的執行了