查看Joomla的代码我看到在索引的第一行,它用
定义了安装的基本路径dirname(__FILE__)
这是一个网站可能存在风险的字体,我的意思是如果一个非受控的错误消息显示Joomla目录的内部路径,因为例如一个失败的include,它可以用来执行某种攻击到网站?如果是,使用此功能是否方便?任何想法都是受欢迎的。
由于
答案 0 :(得分:6)
使用这种结构很好,并且本身不存在安全风险。您突出显示的安全风险是向生产站点上的最终用户显示错误消息。你不应该这样做!关闭错误报告。您可以在php.ini中更改相应的设置,或者如果您无权访问php.ini,则可以在代码的开头执行此操作:
error_reporting(0);
@ini_set('display_errors', 0);