我对PHP,Apache,服务器解释有疑问...我知道当浏览器从Apache + PHP服务器加载PHP文件时,它会被解释,只显示HTML和纯文本但是有下载这些文件而不是解释它们的方法? 在这种情况下,它会非常不安全,因为MySQL密码不安全。
是否有任何安全措施可以防止此问题,或者无法下载此文件?
答案 0 :(得分:6)
只要您的服务器设置正确,就不会发生这种情况。
一个很好的步骤是将所有实际密码和诸如此类的东西放在config.php中并包含它。这样你就可以使用htacces来阻止该文件,这样你的服务器就可以开始提供无论如何都无法访问文件的原始页面。
说明您是否创建 .htaccess 文件并将其放在与config.php相同的文件夹中,并提供以下信息,即使直接请求,也不会提供该文件。只需在此文件中定义您的配置内容(数据库名称,用户名,密码,哈希值等),并在每个需要它的页面的顶部包含它,您就可以开始使用了。
<files config.php>
order allow,deny
deny from all
</files>
答案 1 :(得分:1)
无法“下载”PHP文件,但为了更加安全,您可以将“核心”PHP文件放在public_html文件夹的外部
答案 2 :(得分:1)
除非PHP解释器由于某种原因停止工作,否则不必担心。大多数服务器设计用于在每次请求时解释PHP文件,并仅提供解释的HTML文本。为了防万一,可以保护敏感的PHP设置文件 - 通常是将它们放在具有修改权限的根目录之外。
答案 3 :(得分:0)
有人可以下载文件的唯一方法是设置服务原始文件的服务器。只要您没有设置这样的服务器,它们就无法访问。如果您系统上唯一的服务器软件是Apache并且配置正确,则人们无法看到您的源代码。
但是,如果有人看到您的来源会让您的应用易受攻击,那么您可能需要考虑如何解决该问题。存在大量安全的开源软件 - 为什么你的开源会导致问题?
答案 4 :(得分:0)
使用正确的配置,apache可确保始终解释文件,并且不会提供下载。
您总是可以安装故障更新或进行错误配置,但是熟练的管理员和稳定版本这些情况就不会发生。