使用composer将一些东西安装到了<documentroot>/vendor/目录中。
现在,任何人(包括黑客)都可以通过http://foo.tld/composer.json阅读我的composer.json
这时他们就知道了安装了哪些软件,然后他们可能会使用像http://foo.tld/vendor/symfony/这样的URL来探测我的<documentroot>/vendor/目录。
我该怎么办?
a) 我可以:
chmod 0600 composer.json.htaccess文件,以拒绝所有访问b) 将vendor目录移到文档根目录之外(这在共享托管环境中并不总是可行的)。
你应该将这些文件隐藏起来,以免被偷窥。
只需正确组织文件。例如,按照以下结构:
proj
|-- app
| |-- bootstrap.php
| +-- functions.php
|-- composer.json
|-- composer.lock
|-- public
| |-- index.php
| |-- css
| |-- images
| +-- scripts
+-- vendors
|-- package1
+-- package2
app(也可以是src,lib等)中。
将所有资产放入public目录(也可以是www,webroot等)中。
在public中放置简单的index.php,其中包括来自../app的应用程序引导文件,如require dirname(__DIR__).'/app/bootstrap.php';。
隐藏其他所有内容使其不对公众可见
/path/to/proj/public提供文件<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^$ webroot/ [L]
RewriteRule (.*) webroot/$1 [L]
</IfModule>
你在示例链接中提到了Symfony。如果你正在使用Symfony,如果你的项目位于.../project目录下,那么你的文档根目录就是.../project/web,这就是告诉Apache或你正在使用的服务器使用的内容。其他所有的东西都是你的“应用程序”(我们称之为这个名字),它不需要提供给公众。