从一本书
一个常见的约定是对所有包含文件使用.inc.但是,这可能会使您面临重大安全风险,因为大多数服务器将.inc文件视为纯文本.假设一个包含文件包含数据库的用户名和密码,并且您在网站的根文件夹中存储了带有.inc文件扩展名的文件.任何发现文件名称的人只需在浏览器地址栏中键入URL,浏览器就会明确显示您的所有秘密细节!
但我发现程序.inc中的include文件中有一些文件,例如:drupal和其他一些程序,为什么?它们如何阻止从浏览器访问inc文件?
在Drupal的案例中,保护.htaccess在Drupal的DocumentRoot文件中:
# Protect files and directories from prying eyes.
<FilesMatch "\.(engine|inc|info|install|make|module|profile|test|po|sh|.*sql|theme|tpl(\.php)?|xtmpl)$|^(\..*|Entries.*|Repository|Root|Tag|Template)$">
Order allow,deny
</FilesMatch>
| 归档时间: |
|
| 查看次数: |
402 次 |
| 最近记录: |