我很好奇在PHP代码嵌入的HTML网页(可能存在于服务器上的网页为“webpage.php”)或PHP脚本中的PHP安全性可能会被HTML页面引用(也就是说,PHP脚本实际上并不是服务器上存在的网页的一部分,如“something.php”,并被“webpage.html”引用)。说到这里,让我们说如果我的PHP脚本的源代码被任何人知道,那将是一个非常大的问题。我知道,当您在浏览器中查看PHP页面的源代码时,PHP脚本未显示,但如果PHP服务器失败并且HTML仍然加载(甚至可能),那么用户能够看到PHP脚本? 更为一般的是,用户是否可以通过Web浏览器访问PHP脚本的来源,如果有,我该如何防止它?PHP脚本的安全性嵌入式或其他
回答
如果PHP服务器失败并且HTML仍然加载(甚至有可能),那么用户能够看到PHP脚本?
安全漏洞之外,当有人与服务器搞乱或迁移跨服务器和PHP文件,该网站已被倾倒进,这不是建立执行PHP文件夹这通常发生。这是您为PHP部署付出的代价,就像将文件放入文件夹一样简单。
虽然它从来没有理想的泄漏PHP源,你可以把所有的敏感部署的信息(如数据库密码)在PHP减轻的情况包括文件的web界面的根目录(映射到/
URL的文件夹外,通常称为htdocs
)。要搞砸配置来泄漏这种情况要困难得多。
(对于更大,更模块化的项目,你通常会反正做散装包括您处理的工作。)
我是PHP新手,然后如何从我的网页代码中访问这些脚本? – 2010-04-20 22:57:57
这与我的建议基本相同。您只需在“include_once”上使用“include”,并给出文件的相对或绝对路径。 – 2010-04-21 02:04:46
@bobince,感谢您的回复,我会确保我的重要脚本不在htdocs文件夹中。在其他阅读中,我也发现很多人都在加密他们的PHP,你能推荐任何工具和策略来正确地做这件事吗? – ubiquibacon 2010-04-21 03:35:49
你可以做,以防范简单的服务器错误配置一个简单的事情就是HTML文件包括PHP文件,该文件是文档根目录(域外的或文档根以上级别的,通常是“ htdocs目录“)。这样,如果出现简短的配置错误,所有用户都将获得包含文件的路径,但他们无法直接在浏览器中加载包含的文件。
- 1. PHP脚本安全性的差异:嵌入HTML还是独立文件?
- 2. 使用Python或其他嵌入式脚本语言部署应用程序
- 3. 嵌入式Flash安全
- 4. Power BI嵌入式安全
- 5. 从Boo脚本导入其他脚本
- 6. 安全性添加到不安全的PHP MySQL的脚本半自动地
- 7. 将php脚本嵌入到已经嵌入到php脚本中的href中
- 8. 关于此脚本的安全性
- 9. 分享Lua脚本的安全性
- 10. php安全课程和其他安全建议
- 11. 建立登录安全的PHP脚本
- 12. 安全的PHP电子邮件脚本
- 13. 安全的PHP文件上传脚本
- 14. 安全的PHP脚本执行
- 15. 别名,mod_rewrite或其他共享的PHP脚本?
- 16. PHP脚本中这个MySQL语句的安全性如何?
- 17. 从其他域下载PHP内容(安全方式)?
- 18. 以最低安全级别运行DLR嵌入式脚本背景
- 19. .NET DLR安全或沙盒脚本
- 20. 混淆或安全Jmeter脚本
- 21. 使用嵌入或其他嵌入外部网址与Laravel
- 22. EJS安全使用? (嵌入式JS)
- 23. 嵌入式Glassfish,安全和Arquillian问题
- 24. 的脚本Exec的其他脚本
- 25. 从其他目录运行PHP脚本
- 26. php优于其他脚本语言
- 27. 如何从其他PHP脚本
- 28. 这个PHP脚本是否安全?
- 29. Java - “安全”脚本
- 30. 解析其他脚本的导入正则表达式?
就像一个不相关的音符,许多最安全的框架都是开源的,所以它肯定不是人们能够读取源代码的安全漏洞,除非你正在做类似“if($ _POST ['password'] =='secret12345'){...}” – 2010-04-20 23:04:12
@byronh:所以它是好吧,如果我读你的config.php? – Tower 2010-04-21 08:32:00