open_basedir = .:/tmp/
这个设定表示允许访问当前目录 (即 PHP 指令码档案所在之目录) 和/tmp/目录,有效防止 php 木马跨站执行。
在 Apache 站群服务器中,切忌一定要在虚拟 WordPress 主机配置档案中新增以下程式码,否则 PHP 木马指令码可以浏览你站群服务器上的任意档案,这意味著你的站群服务器很快会被攻破。
新增程式码如下:
php_admin_value open_basedir “/usr/local/apache/htdocs/www/:/tmp/”
注意:把/usr/local/apache/htdocs/www/替换成你自己的网站目录
例如:
编辑虚拟 WordPress 主机配置档案
vi /etc/httpd/conf.d/vhost.conf
在你的网站配置中新增下面的程式码
php_admin_value open_basedir “/usr/local/apache/htdocs/www/:/tmp/”
需要注意的是:
因为/etc/httpd/conf.d/vhost.conf 中设定了 open_basedir 之后, 虚拟使用者就不会再自动继承 php.ini 中的 open_basedir 设定值了, 这就难以达到灵活的配置措施, 所以建议您不要在/etc/httpd/conf.d/vhost.conf 中设定此项限制。可以在 php.ini 中设定 open_basedir = .:/tmp/