我问,因为似乎在适当的应用程序index.php文件中调用的唯一东西是require_once引导程序文件。我假设这增加了一层安全性,但如果没有,这种模式似乎毫无意义。为什么不直接使用index.php文件作为引导程序?任何意见,警告,想法等都表示赞赏!
(顺便说一句,我的htaccess文件将所有请求路由到index.php文件......)
答案 0 :(得分:6)
无论您是在索引文件中还是单独的bootstrapoing进程,都没有固有的安全性差异。
拥有一个单独的文件通常是由于组织问题(例如,有一个文件可以从其他地方包含,以导入您的应用程序的功能,或将所有任务放在正确命名的文件中,或使其特别容易添加引导过程的自定义扩展。)
但是,包含敏感信息的配置文件 - 有时甚至更少,甚至除了索引文件之外的所有PHP文件 - 都将尽可能放在Web根目录之外。 会产生安全性差异,因为在意外的服务器配置错误的情况下,无法从外部访问PHP文件。
答案 1 :(得分:4)
在安全的环境中,只有index.php位于文档根目录中,所有其他PHP文件都应该位于文档根目录之外,因此当index.php文件仅包含文档根目录外的Bootstrap文件时,这是有意义的。 / p>
答案 2 :(得分:1)
我不知道这暴露的任何漏洞。如果apache配置错误,将空白的index.html或index.php删除到文件夹中可以防止攻击者获取目录列表。