Answers:
尝试禁用.htaccess文件中的engine选项:
php_flag engine off
<IfModule mod_php5.c>... </IfModule>。
php_admin_flag,不能在.htaccess文件中使用。.htaccess或ini_set()不能覆盖任何用php_admin_value设置的指令类型。要清除先前设置的值,请使用none作为该值。
要禁用对子目录的所有访问(最安全),请使用:
<Directory full-path-to/USERS>
Order Deny,Allow
Deny from All
</Directory>
如果要仅阻止PHP文件直接提供,请执行以下操作:
1-确保您知道服务器识别为PHP的文件扩展名(并且不允许人们在htaccess中覆盖)。我的一台服务器设置为:
# Example of existing recognized extenstions:
AddType application/x-httpd-php .php .phtml .php3
2-基于扩展名,向FilesMatch(或LocationMatch)添加一个正则表达式
<Directory full-path-to/USERS>
<FilesMatch "(?i)\.(php|php3?|phtml)$">
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
或使用位置匹配php文件(我更喜欢上述文件方法)
<LocationMatch "/USERS/.*(?i)\.(php3?|phtml)$">
Order Deny,Allow
Deny from All
</LocationMatch>
"(?i)\.(ph.+)$"
Order Deny,Allow Deny from All
<Directory /your/directorypath/>
php_admin_value engine Off
</Directory>
这将显示源代码而不是执行它:
<VirtualHost *>
ServerName sourcecode.testserver.me
DocumentRoot /var/www/example
AddType text/plain php
</VirtualHost>
我曾经使用它一次,以使其他同事能够从本地网络读取对源代码的访问权限(只是一种快速而肮脏的选择)。
警告 !:
正如Dan早前指出的那样,永远不要在生产中使用这种方法。请遵循已接受的答案,因为它会阻止任何尝试执行或显示php文件的尝试。
如果您希望用户共享php文件(并让其他人显示源代码),则可以使用更好的方法来完成此操作,例如git,wiki等。
应该避免这种方法!(已警告您。出于教育目的,将其留在此处)
AddType text/plain php用户上传的内容存储在目录中可能是一个有趣的安全防护措施:如果用户设法上传一个PHP文件,那么它将不会由服务器执行,确定他们会看到PHP源代码,但是他们从文件中上传了文件
这可能是过大的-但是要小心做任何依赖于PHP文件扩展名的事情.php-如果有人后来出现并为PHP添加处理程序,.php4甚至.html使其被PHP处理,该怎么办。您可能最好从其他目录的Apache或其他仅提供静态内容的实例中提供那些目录之外的文件。
在生产环境中,我更喜欢将请求重定向到应该禁用PHP处理的目录下的.php文件到主页或404页面。这不会透露任何源代码(为什么搜索引擎应该索引上载的恶意代码?),对于访问者甚至是试图利用这些东西的邪恶黑客来说,都显得更加友好。而且,它几乎可以在任何上下文中实现-vhost或.htaccess。像这样:
<DirectoryMatch "^${docroot}/(image|cache|upload)/">
<FilesMatch "\.php$">
# use one of the redirections
#RedirectMatch temp "(.*)" "http://${servername}/404/"
RedirectMatch temp "(.*)" "http://${servername}"
</FilesMatch>
</DirectoryMatch>
根据需要调整指令。