我可以安全地将 config.php 放在您网站的根目录中,即使它的权限设置为 644?
问问题
835 次
2 回答
2
你的 config.php 应该可以被你的 web serevr 读取,并且不会改变权限。此外,将它放在其他任何地方也无济于事 - 因为由于您的 php 代码应该能够读取它,因此任何设法在您的服务器上运行其代码的黑客都将能够读取它。
所以,无论你把它放在哪里,它都有被设法破解你服务器的黑客访问的危险。将其放在网络根目录中并不比将其放在其他任何地方更安全。
于 2009-09-13T12:14:37.320 回答
1
只要没有人可以通过 SSH 或 FTP 访问您的服务器,并且您的网站中没有允许任何人访问 PHP 文件源的错误/安全漏洞,这应该是完全可以的。
请注意,您的 Apache 用户必须访问该文件(因此它可以包含在其他 PHP 脚本中);所以,无论你把它放在哪里,如果你有一个允许用户读取 PHP 文件的安全漏洞,它不会改变任何事情。
一个想法可能是将该文件放在文档根目录之外,或者放在由 .htaccess 文件保护的目录中,以拒绝任何人的访问 - 至少,如果您的服务器配置不正确并显示源代码PHP 文件,该文件的内容将不会显示(因为它不能直接通过 HTTP 访问/提供)。
这在允许 PHP 文件显示其他 PHP 文件的内容的安全漏洞的情况下无济于事(我已经看到这种情况发生),但这仍然是第一步。
于 2009-09-13T12:03:12.520 回答