我们的网站上有一个config.inc文件,可直接在浏览器窗口中打开。它有一些在config.inc文件中编写的凭据。如何避免从浏览器打开。
eg. www.example.com/config/config.inc
output
<?php
some credentials
?>
任何sugesstions
答案 0 :(得分:3)
1.将其放在网络根目录之外(推荐)
2.使用htaccess来阻止.inc文件
<Files ~ "\.inc$">
Order allow,deny
Deny from all
</Files>
3.在文件顶部快速检查以检查变量。如果没有设置该变量,那么您知道它正在被直接拉起并应立即退出:
<?if(!defined('IN_SCRIPT')){header('HTTP/1.0 404 not found');exit;}?>
4.为文件名添加php扩展名,以便将其解析为PHP或告诉Apache将.inc文件解析为PHP
AddType application/x-httpd-php .inc
答案 1 :(得分:1)
将.php添加到扩展名,或者在webroot目录中创建一个.htaccess文件(假设您当然使用的是Apache):
<Files ~ "\.inc$">
Order allow,deny
Deny from all
</Files>