正在下载php文件?

时间:2009-10-18 09:45:45

标签: php security download

是否可以从他们所在的服务器下载php文件?我是网络领域的初学者,我担心黑客可能会有特殊工具下载,查看我的代码并了解我编写易受攻击的代码的位置来破解我的网站。

5 个答案:

答案 0 :(得分:7)

如果服务器配置正确且代码中没有安全漏洞,那么就不行了。

如果您有类似

的内容
echo file_get_contents($_GET['myFile']);

然后这可以用来获取你的代码 - 永远不要这样做!

答案 1 :(得分:4)

在9/10的情况下,坏人可以下载你的php源代码的方式是你在webroot中保留备份文件,比如foo.php.bak或foo.php.old或.backup。默认情况下,这些文件作为普通文件提供,因此除了上述建议外,请注意此问题。

答案 2 :(得分:3)

不可能直接将源代码下载到通过Apache处理的php文件中,除非您的Web服务器出于某种原因突然破坏并停止通过php解释器提供php文件(如果你正在搞乱设置可能和打破了它。)

一个非常熟练的破解者可能会渗透到你的网络服务器,并且可以轻松地下载任何东西,但这种可能性非常非常低。如果你不是一个大公司那么谁会花时间去真正破解你呢?

要做的另一点是,无论何时你处理用户输入,总是清理,否则你会受到常见的XSS攻击(逃脱字符串,不依赖于PHP_SELF,可以做很多其他的消毒)。

答案 3 :(得分:3)

网络服务器的配置确定是否应该将文件解析为php解析器。这通常基于文件扩展名。因此,将解析以.php结尾的文件,对于php源,您将使用.phps。所以.php文件,在webserver上生成动态内容无法下载为源。

答案 4 :(得分:1)

黑客不需要您的源代码就可以侵入您的网站。事实上,OWASP排名前10位的大多数漏洞都不需要使用源代码: http://www.owasp.org/index.php/Top_10_2007

“黑匣子”漏洞扫描程序如Acunetix(http://www.acunetix.com)或开源项目Wapiti(http://wapiti.sourceforge.net)可以轻松发现SQL Injection,XSS和Source Code Disclosure漏洞。它是一个很棒的工具。