我需要将 PHP 脚本使用的高敏感数据文件上传到我的服务器。请告诉我什么是最安全的方式以及原因:
- 将其放在不在 www 根目录下的文件夹中
- 将其置于 www root 下,但使用 .htaccess 规则拒绝访问
非常感谢
问问题
233 次
1 回答
1
如果您有对此服务器的 ftp/sftp/ssh 访问权限,则没有理由不将其放在 www 文档根目录之外。如果您的托管服务仅授予您访问 www 文档根目录的权限,那么您将不得不使用第二种解决方案,但第一种更安全。
如果您的站点上存在易受攻击的脚本,则可以绕过 Htaccess。有些工具,如果放置正确,文件根目录中的文件并被远程攻击者上传甚至替换。例如,有php“远程文件管理器”允许远程攻击者更改权限、编辑或替换现有文件,包括您的 htaccess 文件。如果您正在运行像 Wordpress 或其他一些 CMS 之类的网站,这些网站本身并不十分安全,并且有很多第三方插件,那么这些插件可能容易受到攻击,并且如果您碰巧使用了一个,您的 htaccess 文件的访问限制可能会被绕过。
当敏感信息位于文档根目录之外时,有权访问文档根目录的攻击者将无法访问这些文件,并且脚本中的漏洞影响对这些文件的访问的可能性要小得多。很可能需要系统级漏洞利用才能访问文档根目录之外的文件。
于 2012-08-03T15:15:20.263 回答