所以我对狡猾的用户可以在网站上看到和看不到什么感到有点困惑。
如果我有一个包含一堆 php 脚本的文件,用户只需单击“查看源代码”就无法看到它。但是有没有办法他们可以“下载”整个页面,包括 php?
如果页面应该设置权限设置,是否有 php 脚本必须在加载时执行但我不想让任何人看到?
谢谢
【问题讨论】:
标签: php security permissions
2 步。
第 1 步:只要您的 PHP 得到正确处理,这没什么好担心的……就这样做吧。
第 2 步:作为一项保险措施,将大部分 PHP 代码移到 Web 服务器目录之外,然后从目录中的 PHP 文件中包含它。 PHP 将包含在文件系统中,因此可以访问这些文件,但 Web 服务器不会。如果 Web 服务器出现问题并提供原始 PHP 代码(曾经发生在 Facebook 上),那么用户只会看到对他们无法访问的文件的引用。
【讨论】:
PHP 文件在发送到您的网络浏览器之前由服务器处理。即客户端看不到实际的PHP代码、cmets等。如果有人要访问您的 php 文件,他们必须通过 FTP 或 SSH 或类似的方式侵入您的服务器,而您面临的问题不仅仅是您的 PHP。
【讨论】:
这完全取决于您的网络服务器及其配置。获取 url 并决定是运行脚本还是发回文件是 Web 服务器的工作。通常,文件名的后缀、文件的目录或文件系统中的文件权限属性用于做出此决定。
【讨论】:
PHP 是一种在服务器上执行的服务器端脚本语言。客户端无法访问。
【讨论】:
如果启用了 PHP,并且程序标记良好,则任何 PHP 代码都不会通过您的 Web 服务器。为了更安全,请禁用目录浏览,并在所有文件夹中放置一个空的 index.php 或 index.html。
确保您也遵守安全编码惯例。网络上有很多文章。这是一个http://www.ibm.com/developerworks/opensource/library/os-php-secure-apps/index.html
【讨论】: