4
我問,因爲它似乎是一個正確的應用程序index.php文件中調用的唯一東西是require_once引導文件。我假設這增加了一層安全性,但如果沒有,這種模式似乎毫無意義。爲什麼不使用index.php文件作爲引導程序?任何意見,警告,想法等都表示讚賞!PHP:使用index.php作爲bootstrap安全嗎?
(順便說一句,我的htaccess文件是路由所有請求index.php文件...)
A
回答
6
無論您是否在索引文件中有引導進程或單獨的引導進程,都沒有固有的安全差異。
擁有一個單獨的文件通常是由於組織方面的考慮(例如,有一個文件可以從別處引入來導入應用程序的功能,或者將所有任務放在正確命名的文件中,或者使其更容易添加自定義擴展到引導過程)。
但是,配置包含敏感信息的文件(有時甚至更少,甚至除索引文件外的所有PHP文件)都將放置在Web根目錄之外。那將作出安全差異,因爲在意外的服務器錯誤配置的情況下,PHP文件不能從外部訪問。
1
我不知道,這暴露了任何漏洞。如果apache配置錯誤,將空白index.html或index.php放入文件夾可以防止攻擊者獲取目錄列表。
4
在一個安全的環境中,只有index.php位於文檔根目錄下,所有其他PHP文件應該位於文檔根目錄之外,所以當index.php文件僅包含文檔根目錄外的Bootstrap文件時纔有意義。
相關問題
- 1. 安全嗎?覆蓋apache2 index.php的安全
- 2. 使用ContinueWith作爲「最終」操作安全嗎?
- 3. 使用sync.Pool引用作爲上下文值安全嗎?
- 4. bootstrap(index.php)「viagra」hack
- 5. 正在使用會話var作爲安全令牌在PHP好嗎?
- 6. PHP是安全的嗎?
- 7. PHP:這是安全的嗎?
- 8. 使用Capistrano安全嗎?
- 9. 使用window.screen安全嗎?
- 10. 使用MD5不安全嗎?
- 11. 使用cstdarg安全嗎?
- 12. 使用代理安全嗎?
- 13. 使用ComputedProperty安全嗎?
- 14. 使用SET ROWCOUNT安全嗎?
- 15. 要使用shared_ptr,安全嗎?
- 16. 使用Parse.Object.attributes安全嗎?
- 17. 使用fflush(stdout)作爲fprintf()參數安全嗎?
- 18. 使用UUID作爲Node Webkit軟件包的名稱安全嗎?
- 19. 從onClick調用php服務安全嗎?
- 20. 使用PHP mysqli接口使用持久連接安全嗎?
- 21. 使用PHP作爲Javascript文件 - 安全性?
- 22. 使用安全登錄PHP
- 23. 安全絃樂使用PHP
- 24. bootstrap modal作爲彈簧安全的登錄頁面
- 25. Twitter Bootstrap和PHP一起工作嗎?
- 26. 使用rand生成確認碼安全嗎? php
- 27. 使用Javascript或PHP驗證我的表單更安全嗎?
- 28. 現在使用PHP 5.3.0新功能安全嗎?
- 29. 在php中使用文件緩存安全嗎?
- 30. 將用戶標識作爲url參數安全嗎?
感謝Pekka的迴應。如果索引需要外部引導程序,並且服務器出現意外錯誤配置,那麼安全問題是否仍然適用? – shanebo 2010-08-27 16:48:03
@shanebo不,如果在解析PHP文件的方式上存在錯誤配置,引導程序將不會被首先提取(並且不能從web根目錄訪問)。 – 2010-08-27 21:42:29