Eğer başkasının sunucusunda bahsediyoruz, o zaman kısa cevap hayır. Üçüncü tarafların PHP kaynak kodu okuyabilir, o PHP dosyaları veritabanı şifreleri, karma anahtarları, özel algoritmalar ve yanlış ellere düşmesini istemiyorum diğer güzellikler içeren eğilimindedir beri, oldukça bir güvenlik delik olacaktır.

If you are talking about your own server (ie. that you yourself have access to), then there are simple scripts that you can put on the server, that allow you to specify a path to any file on the server and have it returned as plaintext. However, you NEVER EVER want to place such a script on a production server, for the reasons mentioned above.

Sunucu iyi yapılandırılmış değilse PHP dosyaları gibi kolları olmaması mümkün değildir.

Bazı örnekler:

• Bazı sunucular göstermek için yapılandırılmış highlighted source code of a PHP file yerine .phps olarak istendiğinde.
• Bazı geliştiriciler .inc include ya da require ile dahil edileceklerdir dosyalar için kullanın. Sunucu hem de PHP gibi bu işlemek için yapılandırılmış değilse doğrudan istendiğinde, onlar düz metin olarak teslim edilecektir.

Fakat geliştirici de güvenlik açığının kaynağı olabilir. O sunucudan dosya indirmek için bir komut dosyası kullanır ve bu komut doğrulama olmadan neredeyse her girişini kabul Örneğin.

Genel anlamda, uzaktan kaynak kodunu erişemiyor. PHP modülü Bunun gerçekleşmesi için devre dışı bırakılması gerekir.

Ama bir düşünce deneyi olarak, bu nasıl gerçekleşebilir?

Bir. Htaccess dosyasına bir satır eklemek için izin veren bir uygulama bir güvenlik deliği olsaydı tüm dosya erişim olsun toptan patlatır kenara bırakarak düşünün. Httpd süreci tarafından. Htaccess yazılabilir Wordpress gibi uygulamalar için yararlı olduğunu göz önüne alındığında, bu bir olasılık çok tuhaf değil.

Bu ekledi eğer:

php_value engine off

Kaynak dosyaları artık indirilebilir hale!

Dosyası (HTTP üzerinden) etkin php yorumlanması olan bir web sunucusundan hizmet ise, o işlenecektir. PHP bir şekilde devre dışı bırakıldı eğer kod İşlenmemiş almak istiyorum tek yoludur.

Ben PHP yorumlayıcısı üzerinden sunucu PHP dosyaları düzgün kurulum bir sanal konak vardı geçmişte bir yanlış yapılandırılmış bir web sunucusu karşılaştım. Orada aynı dizinde işaret ikinci bir sanal konak oldu, ama php etkin yoktu. Bu düz metin olarak görünür çeşitli uygulamalar için 'config.php' gibi şeyler geliyordu. Herkesin bildiği gibi, tipik bir config.php veritabanı auth kimlik bilgileri ve bilinen olmamalıdır başka şeyler vardır.

Yani, web sunucusu kurulum anlamak ve aptalca bir şey yapmıyorlar emin olmak çok önemlidir.