1

所以我对狡猾的用户可以在网站上看到什么和看不到什么感到有点困惑。

如果我有一个包含一堆 php 脚本的文件,用户只需单击“查看源代码”就无法看到它。但是有没有办法他们可以“下载”包括 php 在内的整个页面?

如果权限设置应设置为页面,是否存在必须在加载时执行但我不希望任何人看到的 php 脚本?

谢谢

4

5 回答 5

2

2个步骤。

第 1 步:只要您的 PHP 被正确处理,这没什么好担心的……这样做。

第 2 步:作为一项保险措施,将大部分 PHP 代码移到 Web 服务器目录之外,然后从目录中的 PHP 文件中包含它。PHP 将包含在文件系统中,因此可以访问这些文件,但 Web 服务器不会。如果 Web 服务器出现问题并为您提供原始 PHP 代码(曾经发生在 Facebook 上),那么用户除了对他们无法访问的文件的引用之外什么都看不到。

于 2012-09-15T18:14:46.707 回答
0

PHP 文件在发送到您的 Web 浏览器之前由服务器处理。即客户端无法看到实际的PHP代码、注释等。如果有人要访问您的 php 文件,他们必须通过 FTP 或 SSH 或类似的方式侵入您的服务器,而且您面临的问题不仅仅是您的 PHP。

于 2012-09-15T18:13:34.560 回答
0

这完全取决于您的 Web 服务器及其配置。获取 url 并决定是运行脚本还是发回文件是 Web 服务器的工作。通常,文件名的后缀、文件的目录或文件系统中的文件权限属性用于做出此决定。

于 2012-09-15T18:14:01.130 回答
0

PHP 是一种在服务器上执行的服务器端脚本语言。客户端无法访问它。

于 2012-09-15T18:14:08.733 回答
0

如果启用了 PHP,并且程序标记良好,则任何 PHP 代码都不会通过您的 Web 服务器。为了使事情更安全,禁用目录浏览,并在所有文件夹中放置一个空的 index.php 或 index.html。

确保您也遵守安全编码实践。网络上有很多文章。这是一个http://www.ibm.com/developerworks/opensource/library/os-php-secure-apps/index.html

于 2012-09-15T18:14:11.683 回答