那些遇到过的问题

为什么将框架文件夹放在公共根目录之外更安全?

Nau*_*der 4 php zend-framework cakephp yii symfony

为什么始终建议将框架文件放在公共根目录之外?

鉴于有时框架没有.ini.inc浏览器可以打开的文件.

Jon*_*Jon 7

好了,肯定是有什么可以得到来自放置框架来源Web根目录内.由于选择放置文件的位置因此是免费的,因此遵循最小权限原则是合乎逻辑的:您不需要对这些文件进行Web访问,因此您无法获得它.

更具体的原因是框架源可以轻松地公开网站上使用的框架的品牌和版本(尽管通常也可以通过检查生成的内容来获取此信息); 这反过来又可以使恶意用户更容易利用已知或新发现的漏洞.

Lau*_*ris 5

这样更安全,因为如果Web服务器中存在任何配置错误,那么脚本文件(无论是.php,.asp还是其他)都可能以纯文本形式吐出,潜在的攻击者可能会看到您的所有源代码和已定义的密码.所以最好的做法是只将index.php文件放在webroot中,而webroot又包含来自webroot外部的bootstrap脚本.

我记得一个真实世界的例子 - 在我居住的拉脱维亚,我们有大型的社交网络"draugiem.lv"(在我们国家比Facebook更受欢迎)和几年前所有他们的PHP源代码都被错误配置的服务器泄露,正如我所描述的早.

归档时间:

查看次数:

784 次

最近记录:

12 年,9 月 前
相关归档
致命错误:调用未定义的函数mcrypt_encrypt() 62
PHP - 间接修改重载属性 53
PHP检查url参数是否存在 48
php artisan migrate throw [PDO Exception]无法找到驱动程序 - 使用Laravel 37
Laravel - 种子关系 19
Sonata Admin Bundle徽标的问题 4
Twig if/else不工作 2
Zend_framework - 图像的相对路径 1
PHP运算符 - >和=> 1
如何使 Text::slug() 正确转换德语变音符号? 1
难疑归档
Python中追加与扩展列表方法的区别 3119
如何使用Git将标签推送到远程存储库? 2091
如何格式化Microsoft JSON日期? 1954
Python join:为什么是string.join(list)而不是list.join(string)? 1669
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
在JavaScript中停止setInterval调用 1332
如何一次删除所有Git stashes? 1280
如何在PHP中使用bcrypt进行散列密码? 1230
检查Bash shell脚本中是否存在输入参数 1223
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181