我在我的系统上使用Xampp服务器,并通过在我的系统的Xampp服务器上添加一些PHP.INI设置,发现我可以从我的远程托管站点包含我的php文件。虽然我无法访问远程文件中的变量,但我仍然害怕专业黑客可以访问这些变量。我很害怕,因为url显示文件的路径。我知道我可以使用.htaccess隐藏文件的扩展名,但仍然有人可以猜测这些文件类型,因为webdevelopers主要使用的服务器端脚本很少。如果有任何方法可以阻止我的服务器文件包含在远程服务器或运行在我的站点所在的同一服务器上的服务器上,或者没有什么可担心的,请告诉我。
答案 0 :(得分:1)
在php.ini禁用网址中包含此类
allow_url_include = Off
答案 1 :(得分:1)
allow_url_include = On
this option做的是允许 你 编写如下代码:
include 'http://example.com/foo.php';
不 允许其他人包含您服务器上的文件。
你的恐惧完全是毫无根据的。
PS:allow_url_include无论如何应该关闭。这是一个坏主意。