那些遇到过的问题

阻止公共访问env文件

Joh*_*rgo 6 php security laravel laravel-5

我刚刚发现Laravel 5可能输出敏感数据并可能导致许多主机的进一步利用:

https://www.google.com/search?q=intext%3ADB_PASSWORD+ext%3Aenv&gws_rd=ssl

我想知道保护.env文件的方法.我可以在.htaccess文件中使用以下代码来保护我的.env文件免受浏览器查看吗?

# Protect .env
<Files .env>
Order Allow,Deny
Deny from all
</Files>
Run Code Online (Sandbox Code Playgroud)

我上面的代码会.htaccess工作并保护我的.env文件吗?

Ame*_*lia 5

这不是一个漏洞,如果有人正确安装Laravel,它甚至不是远程问题 - webroot是public文件夹,而不是存储库/项目根目录.

.envlaravel中的配置文件和文件不包含在webroot中,因此您只需要确保您的webroot path/to/project/public.

您提供的Google查询实际上只是一群在安装Laravel之前未阅读文档的人.

koa*_*aok 0

恕我直言,保护配置文件不被浏览的最佳方法是将其放在公共目录之外。通过 .htaccess 保护它可能具有欺骗性,如果出现问题,您的文件将公开可用。

归档时间:

查看次数:

3947 次

最近记录:

6 年,6 月 前
相关归档
如何在PHP中使用预定义的大小创建一个空数组? 52
php从json编码中获取值 26
使用crontab调度程序时,iOS推送通知不起作用 20
Symfony2 - 为URL保护特定的HTTP方法 10
Jhipster + REST客户端+身份验证 6
如何使用net.tcp绑定保护WCF通信 5
makePartial() 返回 Mockery\Exception\BadMethodCallException :此模拟对象上不存在方法 5
Appfabric缓存中的安全性 4
如何在Laravel 5.1中为作业创建子目录? 4
laravel get和post route之间的区别 2
难疑归档
如何重命名本地Git分支? 8033
如何修改现有的,未删除的提交? 7669
如何检查字符串是否包含JavaScript中的子字符串? 7430
在vi中快速缩进多行 2111
什么是 ":-!!" 用C代码? 1627
如何从Python字典中删除密钥? 1539
我如何开始使用Node.js 1264
如何在Java中将数字舍入到n个小数位 1209
如何随机化(shuffle)一个JavaScript数组? 1138
网格布局上的手势检测 1076