Gömülü PHP script, Güvenlik veya başka

2 Cevap php

Ben, yani (PHP kodu gömülü bir HTML web sayfası ("webpage.php" olarak sunucu üzerinde var olacak bir web sayfası) veya bir HTML sayfası tarafından başvurulan edilebilir bir PHP komut dosyası üzerinde PHP güvenliği hakkında merak ediyorum aslında) "something.php" olarak sunucuda var ve "webpage.html" tarafından başvurulan bir web sayfasının bir parçası olmayan bir PHP betiği. Noktasına alma, bize benim PHP komut dosyası kaynak kodu herkes tarafından biliniyor ise bu çok büyük bir sorun olacağını diyelim. Ben bir tarayıcı PHP komut dosyası içinde bir PHP sayfası kaynağını görüntülemek olduğunda gösterilir olmadığını biliyorum, ama PHP sunucu başarısız ve HTML hala yüklü ise (bu bile mümkündür), bir kullanıcı PHP görmek mümkün olacağını senaryo? To be more general, is there ANY possible way that a user could access the source of a PHP script from a web browser, and if so, how do I prevent it?

2 Cevap

PHP sunucu başarısız ve HTML hala (bu bile mümkün) yüklü ise, bir kullanıcı PHP komut dosyası görmek mümkün olacaktır ne?

Birisi sunucu ile karıştırmasını veya sunucular arasında sitesi göç ve PHP dosyaları PHP çalıştırmak için kurulmuş değil bir klasör içine atılmış olması ne zaman bir kenara güvenlik açıkları, bu genellikle olur. Bu PHP dağıtım bir klasöre dosyaları bırakarak gibi basit olmak için ödediğiniz fiyat.

PHP kaynak kaçak ideal asla ederken, bir PHP (veritabanı şifreleri gibi) hassas dağıtım bilgilerini bütün koyarak durumu azaltabilir web kök (Klasör / eşleştirilir dışında yaşayan içerme dosyası genellikle bilinen URL, htdocs). O kaçak yapılandırma berbat çok zor bulunuyor.

(Daha büyük, daha modüler projeler için genellikle zaten içerir içinde işleme çalışmalarının toplu yapıyor edilecektir.)

Eğer basit bir sunucu mis-yapılandırmasına karşı korumak için yapabileceğiniz basit bir şey, HTML dosyası dışında belge kök (belge kök düzeyinde veya üstünde, genellikle "htdocs") olarak bir PHP dosyası eklemek sahip olmaktır. Orada tüm kullanıcı dahil dosyanın yolu olacaktır alacağı kısa bir yanlış yapılandırma, ama onlar kendi tarayıcısında dosyasını doğrudan dahil yüklemek mümkün olmaz bu şekilde eğer.

etiketler