location /web/ {
location ~ .*\.(php)?$
{
    deny all;
}

}

此规则是将/WEB目录下的php文件,禁止读取和执行。