8
我有一个.ini文件,在我的php wab应用程序中有敏感信息。我使用.htaccess文件拒绝访问到它:拒绝在.htaccess中访问.ini文件是否安全?
<files my.ini>
order deny,allow
deny from all
</files>
我没有htdocs目录的外部访问的文件夹,所以我不能移动.ini文件出可浏览领土。
我的解决方案安全吗?
A
回答
7
.htaccess将阻止来自网络的访问。但是,如果您使用的是共享主机环境,则其他用户可能会访问您的ini。如果它在(虚拟专用)服务器上,并且您是该服务器的唯一用户,那么您是安全的。
在共享主机的情况下,它取决于服务器配置。 欲了解更多信息阅读:PHP Security in a shared hosting environment
可以暂时安装PHPShell并通过服务器的文件系统浏览检查你的服务器是脆弱的。 (需要一些命令行知识)
2
该文件在apache中不可见。显然,最好的选择是将它放在网站根目录之外。如果你不能这样做,.htaccess文件(或者你的apache配置中的类似指令)几乎是你唯一的选择。
4
另一个很好的解决方案和我个人最喜欢的(特别是在开发可能不受我严格的.htaccess控制的代码时)是保护实际的.ini文件。由于一种灵魂here - user notes: pd at frozen-bits dot de,我做的是:
my.ini -> changes to my.ini.php
my.ini.php开始了:
;<?php
;die(); // For further security
;/*
[category]
name="value"
;*/
完美的作品!直接访问文件,你看到的只是';' 和它是一个有效的,可解析的.ini文件。有什么理由不喜欢:)
实际执行的几个注意事项(道歉,如果这算作“overshare”但也许节约一些时间):
- 这个文件让我的IDE很不高兴,它不停地尝试自动重新格式化,然后使PHP不安。祝福在Notepad ++上。
- 不要忘记关闭
;*/。它仍然有效,如果你离开它,但PHP警告你它将变得心烦意乱。
Sorted。
相关问题
- 1. .htaccess拒绝访问只是PHP文件
- 2. 如何拒绝访问文件在.htaccess
- 3. Joomla Server无法读取htaccess文件,拒绝访问是安全的
- 4. 服务器无法读取htaccess文件,拒绝访问是安全
- 5. WordPress的服务器无法读取htaccess文件,拒绝访问是安全的
- 6. 的.htaccess拒绝访问到文件夹
- 7. .htaccess拒绝目录访问
- 8. Htaccess拒绝访问/text.php
- 9. 安全:拒绝通过mod_rewrite访问.hg/*
- 10. .htaccess全部拒绝
- 11. 拒绝访问XML文件
- 12. 拒绝访问文件
- 13. 拒绝访问文件
- 14. 在C中拒绝访问文件#
- 15. 在VB.NET中拒绝访问文件夹
- 16. 在部署中拒绝文件访问
- 17. .htaccess - 拒绝访问文件夹,但允许通过index.php访问文件
- 18. 安全:访问在Japplet中被拒绝的例外
- 19. 弹簧安全登录总是得到访问被拒绝
- 20. 文件访问被拒绝在.NET
- 21. 拒绝从文件中的ips访问
- 22. 拒绝访问.Net中的文件
- 23. 拒绝访问ASP.NET中的文件夹
- 24. Grails弹簧安全拒绝访问其他插件
- 25. 拒绝使用.htaccess访问多个.php文件?
- 26. .htaccess拒绝访问特定文件?不止一个
- 27. 拒绝通过浏览器使用htaccess访问目录文件
- 28. 拒绝使用.htaccess从网络访问文件夹
- 29. 如何拒绝使用一个.htaccess访问多个文件夹?
- 30. mysql_connect()总是拒绝访问