我刚拿到了一个任务,需要在一个老式开发的网页上工作。
这意味着,常用变量/常量和数据库连接变量都在视图 php 引擎中,而不是在单独的文件中。 :(
我想把它们放入 config.php 或 config.inc 文件中,并在引擎中使用 require_once('/path/filename'); 。
我的问题是,我不熟悉安全保障,所以我想改变权限(也许是755?)。
还有其他事情我可以做吗?
将配置文件移动到公共文件夹之外,以便无法通过URL访问。否则,Web服务器上的错误配置可能会导致文件无法解析(有人可能忘记告诉Web服务器.inc文件应该通过PHP运行。我因此从不将它们命名为.inc,而是始终使用.php)。这种情况很少见,但我在访问的网站上至少遇到了两次,并且它们的文件中还有凭据。
<Files config.php>
Order Deny
Deny From All
</Files>
但这只是一种表面上的预防措施。如果您将该脚本命名为“config.php”,它无论如何都无法通过Web访问。
如果您正在使用共享主机,那么您无法阻止其他帐户进行窥探。这需要具有suphp/suexec的服务器设置,以限制其他用户对文件系统的访问。