如果我发布一个 PHP 页面(例如我的页面.php) 在我的托管网络空间上(PHP 页面的 URL 是公开的,例如http://example.com/mypage.php),黑客能否以某种方式访问此 PHP 页面的 PHP 源代码?如果可以,我该如何防止这种情况发生?
页面来源可以是:
- 仅 PHP 代码
- 混合 PHP 和 HTML 代码
答案1
黑客能否以某种方式访问该 PHP 页面的 PHP 源代码?
是的。
如果是,我该如何防止这种情况发生?
嗯,这需要了解他们如何访问。
黑客可以通过 SSH 访问您的服务器(如果是虚拟专用服务器),或者如果您使用的是共享托管计划,他们可以窃取或暴力破解您的 FTP(S) 凭证。然后他们就可以访问服务器上的实际文件。
因此,请务必使用安全密码,如果这是你自己的服务器,也许禁用基于密码的 SSH 登录, 安装失败2ban等。您还应确保 PHP 脚本的所有者是无法获得管理权限的用户(即没有sudo密码就无法获得管理权限),并且一台服务器上托管的几个不同站点的脚本文件由不同的用户拥有,因此,即使一个站点受到攻击,其他站点仍然是安全的。
有相当多需要考虑的一些事情在 Web 服务器上设置用户和所有权时。如果您是服务器管理新手,并且您的服务器在公共场所运行 PHP 脚本,请做好易受攻击的准备。请保留备份并进行安全更新,包括操作系统和第三方 PHP 脚本。
现在,最重要的是确保您的 Web 服务器已配置为使用 PHP 解释器处理 PHP 文件,并且不以纯文本文件形式提供。但是如果您按照官方文档安装了 Web 服务器和 PHP,并且您的 PHP 文件渲染正常,那么您不必担心这部分。
请注意,PHP 是否与 HTML 混合并不重要。服务器将只输出 PHP 文件生成的任何内容,HTML 将按原样传递。