我对Magento知之甚少,并没有自己构建有问题的网站,但我发现客户网站的local.xml文件是公开访问的 - http://domain.com/app/etc/local.xml,其中包含用户名和密码.我假设此文件不应公开访问,但Magento是否会自动阻止访问(通过发送403标头)?对此有何安全隐患?
世界将拥有您的数据库连接信息,密钥也就在那里,因此他们可以破坏您所有客户的安全信息.
Magento阻止通过该目录中的.htaccess从应用程序访问等.
Order deny,allow
Deny from all