我了解通常建议将文档(例如用户上传的文件)存储在网络根目录下。但是,如果文档存储在public_html的文件夹中,并且设置了htaccess来阻止文件夹的浏览,并且上传文件的文件名是一个随机生成的长字符串,那么有人将如何在未经许可的情况下访问该文件? / p>
答案 0 :(得分:1)
是的,如果Web服务器不允许通过配置进行公共访问,则没有人可以访问文件。但是,不允许根本不通过配置进行访问比根本不存在文件要容易得多。经常会发生这样的情况,一个粗心的管理员错误地配置了服务器,突然允许访问这些文件,如果您一开始就将文件放在webroot之外,这根本就不是问题。也许您还有一个次要漏洞,其中某些人可能可以更改您的.htaccess文件,从而允许自己通过后门进入。同样,如果根本不存在文件,也不是问题。