我为文件/文件夹设置了哪些权限允许从PHP读取而不是从浏览器读取?
这是一个基本的users.txt文件,包含用户名和密码。
答案 0 :(得分:2)
不要将它放在webroot或public_html目录中。
因此,例如,而不是:
/var/www/example.com/public_html/secret.file - //或者您的服务器作为域名根目录的任何内容---
类似的东西:
/usr/share/php-files/this/path/is/ultimately/arbitrary/secret.txt - 只要告诉php文件所在的位置,放置文件的位置并不重要。
如果你想要格外小心,权限应该是600 - 如果你不打算在上面写,你自己。并且不要忘记将chown忘记到你的php / webserver用户(通常是www-data)。
但是如果它在webroot目录中,那并不重要 - 人们可以获取文件并在之后更改权限。仅仅因为用户从Web服务器请求文件,并且Web服务器具有读取它的权限 - 只要Web文件位于Web可访问目录中,Web服务器就可以并且将传递该文件。
我看到客户一直犯这个错误 - 留下了可怕的事情
full-site.tar.gz和all-our-clients'personal-information.sql -
将这些东西排除在网络根目录之外并不难......