假设您有一个config.php,它包含敏感信息,如数据库用户密码.不建议将该文件存储在文档根目录中,对吗?
为什么会这样,并且在文档根目录的index.php中存储敏感信息是否更安全?
对我而言,第一个想到的场景是错误配置,允许用户下载或查看.php文件,而不是解析它们并将它们显示为text/html.假设您执行升级,出现问题,并且Apache不再解析您的脚本.有人注意到Apache将PHP文件作为纯文本发送,并且能够打开config.php并查看源代码(以及内部的所有敏感数据库配置参数).