我正在用一个新编码的php网站替换用另一个lang编写的现有非常旧的站点,我需要仔细检查一些与安全性有关的事情。网站将在Windows 2008 R2上运行,使用IIS 7.5并运行php 5.3.8。
我将db登录信息存储在Web根目录之外的文件中。但在我的PHP代码中,我必须包含这些文件,我使用的是绝对路径。 php和/或IIS会剥离文件路径吗? (我想答案是肯定的,因为竞争技术会做同样的事情,但需要确定这一点并且无法找到答案。)
在相关的一点上,保留.js文件的最佳位置是什么?将它们置于Web根目录之外是否更好的安全性?
对不起基本问题,但我是php的新手(其他langs的长期程序员)。
答案 0 :(得分:0)
答案 1 :(得分:0)
我跑了一堆测试,在那里我查看了php和webserver返回的内容的来源。如果您使用php命令“require c:\ abc \ file.php”,则不会使用html返回任何信息。
但是,会显示.js文件的路径。这是因为它位于html内部,而不是php,因此php或webserver不会删除路径。
因此,我认为我可以安全地说: 1.信用卡的路径不会显示在返回浏览器或curl调用的html源代码中。 2. js和css路径是公开显示的,因此值得考虑是否需要保护这些路径(例如,单独的子域或类似路径)。