将所有文件都公开显示不是一件坏事吗?
当然,诸如 /system/application/config/database.php 之类的东西不应该公开可见!
【问题讨论】:
标签: php security apache codeigniter
CodeIgniter 的开发者 EllisLabs 以这种方式设置框架以方便使用。这意味着希望试用该框架的人不必摆弄他们服务器上的任何权限设置。
当然,在生产服务器上,您是绝对正确的,将您的 PHP 文件放在公共 HTML 文件夹中不是一个好主意。
组织文件夹的更好方法是:
这里唯一要做的其他更改是将 index.php 的第 26 行更改为:
$system_folder = "../../code_igniter/system-folder";
【讨论】:
您可以将以下规则添加到您的 .htaccess 文件中,以进一步保护系统和应用程序目录不被查看(发送 403 Forbidden 错误):
# Protect application and system files from being viewed
RewriteRule ^(application|system) - [F,L]
【讨论】:
采用这种结构:
/application
/system
/public
index.php
你可以在public/index.php中更改这两个设置就大功告成了
$application_folder = '../application';
$system_path = '../system';
【讨论】:
乔恩·温斯坦利的回答很完美, 也不要忘记保护文件上传文件夹,如果你有的话。我还通过将其移到公共根目录之外来做到这一点,并使用以下代码获取图像:
<?php
// $details = getimagesize($_GET["path"] . '/' . $_GET["image"]);
$details = getimagesize($_GET["path"] . strip_tags($_GET["image"]));
header ('Content-Type: ' . $details['mime']);
readfile($_GET["path"] . strip_tags($_GET["image"]));
exit;
?>
【讨论】:
从浏览器访问 /system/ 中的文件不会泄露任何敏感信息,因为 PHP 将被解析并且这些文件没有任何输出(CI 系统文件甚至可以检查是否已定义一个变量来指示该文件未被直接访问)。
话虽如此,您还是应该将整个系统文件夹安装在 Web 根目录之上。
【讨论】:
您始终可以将系统目录放在公共目录之外。不要忘记更新前端控制器(index.php)中的路径。
【讨论】: