(Last Updated On: 2018年8月13日)PHPはスクリプトアップロードに弱いシステムですが、PHPアプリにはファイルアップロードをサポートしているアプリが数多くあります。WordPressなど自動更新を行うアプリも増えてきました。 PHPアプリの場合、MVCフレームワークなどを使っていてもエントリポイントにはPHPファイルが必要です。ファイルアップロードをより安全に使うための設定も可能ですが、WordPressのようなファイル配置で自動更新を行っているアプリの場合、攻撃を完全に防ぐ事ができません。 しかし、簡単な方法でドキュメントルート以下のPHPファイルの実行をホワイトリストで防御することができます。 防御の方法 以下のような手順で意図しないPHPスクリプトの直接実行を防止です。 実行を許可するPHPファイルのホワイトリスト(allowed_php_scripts.ph