【发布时间】:2011-11-15 22:15:57
【问题描述】:
许多可供下载的 PHP 应用程序(例如 Wordpress)包含配置文件,其中包括敏感信息(密码、数据库登录详细信息等)。这些文件真的安全吗?我知道如果有人直接导航到它们或尝试下载它们(例如通过http://www.example.com/admin/config.php),他们将看到的只是一个没有任何数据的空白页面。但是,我仍然很警惕。您能否就这方面的文件安全最佳实践启发我?谢谢!
【问题讨论】:
-
查看页面源代码。那里没什么重要的。除非服务器不解析 php,否则你很好。如果没有,那么您遇到的问题比知道您的数据库密码的用户更大(如果他们可以看到您的任何源代码,无论如何都可能搞砸了)
-
一般建议是将敏感配置文件移到文档根目录上方。更简单的方法是使用受限子目录或使用 .htaccess 和 FilesMatch 指令阻止访问。
-
@mario:这个问题是相关的,但不同之处在于我询问的是专用的 PHP 配置文件,而不是嵌入了 PHP 内容的 HTML 文件。感谢 .htaccess 和 FilesMatch 提示。我会调查一下。
-
@cyclone:这是有道理的。谢谢。
-
@Jared:你当然可以找到一个“更准确”的副本,而无需任何关于 HTML 的问题填充。但这是同一个主题,我相信没有更多(实用的)解决方案。
标签: php security http encryption config