我在我的系统上使用 Xampp 服务器,通过在我的系统的 Xampp 服务器上调整一些 PHP.INI 设置,我发现我可以从我的远程托管站点包含我的 php 文件。虽然我无法访问远程文件上的变量,但我仍然害怕专业的黑客可以访问这些变量。我很害怕,因为 url 显示了文件的路径。我知道我可以使用 .htaccess 隐藏文件的扩展名,但仍然任何人都可以猜到这些文件类型,因为只有少数类型的服务器端脚本主要由 web 开发人员使用。请让我知道是否有任何方法可以防止将我的服务器文件包含在远程服务器上或在我的站点所在的同一台服务器上运行的服务器上,或者没有什么可担心的。
问问题
130 次
2 回答
1
在php.ini禁用网址中包括这样
allow_url_include = Off
于 2012-09-06T07:09:31.143 回答
1
allow_url_include = On
此选项的作用是允许您编写如下代码:
include 'http://example.com/foo.php';
它不允许其他人包含您服务器上的文件。
你的恐惧完全没有根据。
当有人通过 URL 访问它们时,Apache 将始终执行您服务器上的任何 .php 文件。没有人可以像那样看到您的源代码。(假设 Apache 没有损坏或配置严重错误。)
PS:allow_url_include无论如何都应该关闭。这是个坏主意。
于 2012-09-06T08:01:10.737 回答