È possibile configurare .htaccess per bloccare le richieste PHP per accedere agli elementi sopra la cartella principale?
diciamo che uno script malevolo è stato inserito in una cartella e potrebbe richiedere l'accesso a "../../../../configure.php", temo che .htaccess non possa impedire l'esecuzione dello script , se le regole consentono l'esecuzione dello script incriminato. Corretto?
Questo è un grosso problema in più server web che gira sotto la stessa cartella public_html ....
Sì, non funziona.
Definisci i diritti di accesso dall'esterno nel file .htaccess.
Se uno script php viene eseguito localmente sul server Web, ha accesso a qualsiasi cosa sia consentita dalle autorizzazioni locali.
Quando più host sono ospitati sullo stesso computer, di solito hanno diritti di accesso diversi in base agli utenti per separare gli inquilini gli uni dagli altri e contrastare i file di altri tenant.
Non c'è molto che puoi fare, tranne che per rendere impossibile l'eliminazione di uno script dannoso in primo luogo.
Leggi altre domande sui tag php attacks directory-traversal