我问是因为在正确的应用程序 index.php 文件中似乎唯一调用过的就是 require_once 引导文件。我假设这增加了一层安全性,但如果没有,这种模式似乎毫无意义。为什么不直接使用 index.php 文件作为引导程序?任何意见,警告,想法等都表示赞赏!
(顺便说一句,我的 htaccess 文件正在将所有请求路由到 index.php 文件......)
问问题
666 次
3 回答
6
无论您的引导过程是在索引文件中还是在单独的文件中,都没有内在的安全差异。
拥有一个单独的文件通常是出于组织方面的考虑(例如,拥有一个可以从其他地方包含的文件以导入您的应用程序的功能,或者将所有任务放在正确命名的文件中,或者使添加自定义扩展特别容易启动过程)。
但是,包含敏感信息的配置文件 - 有时,更罕见的是,甚至除了索引文件之外的所有 PHP 文件 - 将尽可能放置在 Web 根目录之外。这将产生安全性差异,因为在服务器意外配置错误的情况下无法从外部访问 PHP 文件。
于 2010-08-25T23:15:11.147 回答
4
在安全环境中,只有 index.php 位于文档根目录中,所有其他 PHP 文件都应位于文档根目录之外,因此当 index.php 文件仅包含文档根目录之外的 Bootstrap 文件时,这是有意义的。
于 2010-08-25T23:15:21.080 回答
1
我不知道这会暴露任何漏洞。如果 apache 配置错误,将空白 index.html 或 index.php 放入文件夹可以防止攻击者获取目录列表。
于 2010-08-25T23:14:33.630 回答