在服务器上存储敏感代码的最安全的位置在哪里(例如,授权php,联系脚本,敏感或受保护的javascript)?
你们/女孩们对如何保护这类东西有任何提示或技巧吗?
答案 0 :(得分:6)
您可以使用.htaccess来切断对PHP脚本的远程访问(当然,您仍然可以使用服务器端包含本地访问它们)。我假设您的联系脚本也是PHP脚本。他们也可以这样处理。无论哪种方式,如果PHP在您的服务器上运行,即使用户知道PHP文件的位置,他们仍然无法看到源代码。这只能防止某些未经授权的执行。
关于敏感或受保护的Javascript,您可以使用像this这样的JS压缩器来混淆代码,但由于JS是在客户端执行的,因此用户将能够看到您提供给他的任何源代码。 / p>
答案 1 :(得分:4)
一些观察
您遇到的问题是,为了使用这些代码,任何使用它的进程(通常是Web服务器)都需要读取它。除非您可以采用某种类型的排队离线处理,否则仅凭这一事实确实使得获得额外的安全性变得不切实际。
规则#1 - 将其保留在DocumentRoot之外(除非它应该在那里)
规则#2 - 运行您自己的服务器(或VPS),并让其他人远离它
规则#3 - 将盒子锁紧 - 端口22(来自特定IP)和80/443来自全球
PS。 JavaScript在网络浏览器中执行 - 您无法做到保护它(除了模糊它),也不必(例如,不信任外部数据)规则#0)。
答案 2 :(得分:2)
另一种策略是将此类PHP脚本存储在公共Web文件夹上。您的脚本仍然可以访问它们。我经常将此用于我希望登录用户下载的数据。我必须专门制作一个脚本,以便在需要时检索并发送数据,但除非他们已登录并且脚本将其发送给他们,否则没有人可以访问这些数据。
使用您的脚本,它甚至更简单 - 您没有办法访问它们。当然,您自己的脚本可以包含它们,并且使用.htaccess来控制访问是另一个有价值的步骤。