3

有各种各样的帖子建议您如何添加 .htaccess 文件以从 URL 中删除 index.php。但是,为了使 .htaccess 文件正常工作,必须更改 AllowOverride(通常为“All”)。

本教程说明使用 .htaccess 文件进行 mod_rewrite 是一种误解,可以而且应该在主配置文件中完成。

我的网络安全官告诉我——我引用了——“将 AllowOverride 更改为 All 会增加网络服务器的风险,因为如果被利用,入侵者/黑客/机会主义者可能会覆盖主服务器配置,这可能允许他们采取各种措施;这将是严重的安全漏洞”。我不确定这有多少重量!

所以我的问题是;

  1. 更改 AllowOverride 真的有严重的危险吗
  2. 如果是这样,为什么建议 .htaccess 在Stack Overflow上如此广泛地删除 index.php ?
4

1 回答 1

4

.htaccess好吧,从某种意义上说,如果黑客/入侵者掌握了您的文件系统,那么他们可以修改重写规则并改变您网站的行为,这会带来一点安全问题。但是请记住,如果黑客掌握了您的 DOCUMENT_ROOT 文件夹,那么通过修改/删除任何其他代码也可以造成更大的破坏,并且您手中的问题要大得多。

然而,.htaccess通过让您控制您的网站行为、身份验证需求,而无需在 Apache 配置中进行这些更改并每次都重新启动它,从而为您提供了最大的灵活性。尤其是在共享托管环境中,网站所有者甚至无法访问 Apache 配置。

于 2013-10-30T13:06:00.907 回答