open_basedir = .:/tmp/
這個設定表示允許訪問當前目錄 (即 PHP 指令碼檔案所在之目錄) 和/tmp/目錄,有效防止 php 木馬跨站執行。
在 Apache 站羣服務器中,切忌一定要在虛擬 WordPress 主機配置檔案中新增以下程式碼,否則 PHP 木馬指令碼可以瀏覽你站羣服務器上的任意檔案,這意味著你的站羣服務器很快會被攻破。
新增程式碼如下:
php_admin_value open_basedir “/usr/local/apache/htdocs/www/:/tmp/”
注意:把/usr/local/apache/htdocs/www/替換成你自己的網站目錄
例如:
編輯虛擬 WordPress 主機配置檔案
vi /etc/httpd/conf.d/vhost.conf
在你的網站配置中新增下面的程式碼
php_admin_value open_basedir “/usr/local/apache/htdocs/www/:/tmp/”
需要注意的是:
因為/etc/httpd/conf.d/vhost.conf 中設定了 open_basedir 之後, 虛擬使用者就不會再自動繼承 php.ini 中的 open_basedir 設定值了, 這就難以達到靈活的配置措施, 所以建議您不要在/etc/httpd/conf.d/vhost.conf 中設定此項限制。可以在 php.ini 中設定 open_basedir = .:/tmp/