如何使文件和文件夹更安全。所以没有黑客可以访问甚至不应该公开文件夹结构,PHP安全扫描程序应该提供更有效的报告?
我只是扫描我在CodeIgniter中的网站。我的报道太糟糕了。文件夹结构及其内容即使是会话ID也完全暴露。
我应该怎么做才能防止这种情况发生?可以.htaccess到每个文件夹阻止这个吗?
我使用了“Acunetix WVS Reporter”。
答案 0 :(得分:1)
只是不要将任何不应公开访问的内容放入公共可访问文件夹(httpdocs/,public/或任何文档内容中)
答案 1 :(得分:0)
对于我的网站,当我想要包含javascript,CSS或图片(任何外部的,真的)时,
我有一个获取文件内容的PHP文件,如下所示:
<?php
$explode = explode(".", $_GET[f]);
$md5 = md5($explode[0]);
echo file_get_contents("secretfolder/$md5.$explode[1]");
?>
在HTML中使用
<img src='include.php?f=heart.jpg'>
<style type='text/css' rel='stylesheet' href='include.php?f=styles.css'>
然后将index.php放在该文件夹中,该文件夹会重定向到您的主页或显示虚假404错误。
您应该调试和扩展PHP,以删除潜在的代码注入或XSS漏洞。我建议看File GET contents
了解更多信息
答案 2 :(得分:0)
这是CodeIgniter的应用方式 http://codeigniter.com/wiki/Better_Server_Setup_for_CI