文章目录
[+]
对包含文件利用.inc的扩展名
包含文件保存在网站主目录下
Apache未设定.inc文件的类型
(图片来自网络侵删)
Apache的默认文件类型是text/plain
上面情形造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。
避免这种情形很随意马虎。只能重组你的运用,把所有的包含文件放在网站主目录之外就可以了,最好的方法是只把须要公开拓布的文件放置在网站主目录下。
虽然这听起来有些猖獗,很多环境下能导致源码的暴露。我曾经看到过Apache的配置文件被误写(并且不才次启动前未创造),没有履历的系统管理员升级了Apache但忘了加入PHP支持,还有一大堆环境能导致源码暴露。
通过在网站主目录外保存尽可能多的PHP代码,你可以防止源代码的暴露。至少,把所有的包含文件保存在网站主目录外是一个最好的办法。
一些方法能限定源码暴露的可能性但不能从根本上办理这个问题。这些方法包括在Apache中配置.inc文件与PHP文件一样处理,包含文件利用.php后缀,配置Apache不能接管对.inc文件的直接要求:
1
<Files ~\公众\.inc$\公众>
2
Order allow,deny
3
Deny from all
4
</Files>
虽然这些方法有其优点,但没有一个方法在安全性上能与把包含文件放在网站主目录之外的做法比较。不要依赖于上面的方法对你的运用进行保护,至多把它们当做深度戒备来对待。
