首先设想：有什么样的需要我们就会有什么样的程序，也会有何种层次的极别。安全或许一个层次的坚守并不代表全局的安全，而全局的安全则是由很多个层次来构成的，所以技术的积累是很重要的，量到一定程序就会产生质变。

煮酒品茶:一个程序从不同的角度上看会有不同的结果，所以可能和你所想要的有点偏差。我只是把我个人的想法进行一个表述，并希望通过实践来得出它是可行的，也不希望有误倒读者的意思。自己衡量这个标准。

攻击情形假设：

1、非法用户通过非法手段得到权限并进行入侵攻击
2、上传程序到网站目录，由于用户所获得的权限为www，而www的权限是在整个程序目录，所以活动目录为主程序目录。
3、上传X马到主程序并得到解释后进行进一步提权。（这时已经可以得到全部网站数据了）
一般的web程序是不会老是变动的，而且会有一个固定的框架。
1、所有主程序目录（web主程序）
2、图片上传目录以及资料上传目录
3、有时候会有cache的目录存在
4、数据库会存储相当可观的数据，并进行实时调用（此为表述）
根据我们在web服务器安全浅谈上进行理论操作，即为可写不可读，可读不可写。（此处指的是动态语言）但有时候环境不得不让你可读而且可写，比如我们的cache目录，或者你可以放到别的服务器上，让他们分开。更或者......
下为针对上方需求所设想：
1、此项为可读不可写，因此为予权限为www用户可读禁止写入。
2、此项为可写不可读，测试过不给读权限也可以调用图片。（或者采用3的方法）
3、此项为要可写也要可读，那么我们的方法是利用web服务器程序进行禁止解释
4、此为数据库安全。与本题无关。
然后我们针对以上方案进行一个实例的测试。
程序目录结构如下：
 
1.    [root@bogon data]# tree
2.    .
3.    |-- cache
4.    |   `-- index.htm
5.    |-- image
6.    |   `-- 220903335.jpg
7.    |-- index.php
8.    `-- upload
9.        `-- test.rar
Cache为缓存，image为图片上传目录，upload为文件上传目录，当前目录为主站程序目录。
先进行测试访问。
三个都是可以被web程序所解释的。
 
 


 

设置全站权限：

煮酒品茶：x是代表可执行也就是web程序nginx可执行。这样看就方面看多了。

1.    [root@bogon data]# ll
2.    total 16
3.    drwx------ 2 www www 4096 Jun  5 03:22 cache
4.    drwx------ 2 www www 4096 Jun  5 03:22 image
5.    -rwx------ 1 www www   21 May 31 02:13 index.php
6.    drwx------ 2 www www 4096 Jun  5 03:22 upload
修改Nginx.conf配置需求
1.    location ~* ^/(cache|image|upload)/.*\.(php|php5|PHP|PHP5)$
2.    {
3.    deny all;
4.    }
重启nginx
 
 

最终结果，清缓存。

应用程序正常业务

静态文件目录非法上传非法文件。

煮酒品茶：主程序只给可读可执行的命令。所以一般情况下无法被写入。我们的安全等级提高了一点点。配合其它的手段使安全得到更多的保障！

附：nginx.conf 禁止解释的代码，学过正则的都看的懂。
-------------------------------------------------
 
1.    location ~* ^/(cache|image|upload)/.*\.(php|php5|PHP|PHP5)$
2.    {
3.    deny all;
4.    }
-----------------------------------