我正在开发一个系统,在该系统中,如果用户正确登录,则只允许用户访问大多数页面。我不打算在每个页面上检查正确的登录,而是在登录过程中检查索引页面,并包括其中的所有其他子页面。
为了确保没有人能够通过他们的直接网址访问任何其他网站,我会将所有网页放在public_html之外,并使用路径'../ page.php'从这里包含它们。
这是一种安全的做事方式,还是我错过了任何其他安全漏洞?
答案 0 :(得分:2)
public_html是您的Web服务器的根,用户将无法直接访问其外部的文件。
假设您的网络服务器与htaccess指令兼容,您还可以创建一个文件夹,例如public_html/private,其中.htaccess文件包含:
Deny from all
如果您不想使用网络内容污染public_html以外的文件夹。
答案 1 :(得分:0)
不要直接从usr输入或用户可以操作的变量构建包含路径,你应该没问题。根据项目的大小,您可能最好不要查看PHP框架。