可能重复:
Apache 安全
我一直在阅读有关服务器/Apache 安全性的资料,但遇到了一个矛盾。我读到过你不应该提供任何不在 Apache 范围内的文件,但我被告知你应该将文件保留在 Apache 范围之外。
我当前的设置是:
Apache 的范围:public_html/front。在前端文件夹中,我保存了 html、css 和 javascript 文件。我还有一个文件夹public_html/back,在 Apache 的范围之外,里面存放着我的 PHP、数据库和网站后端文件。所有网站目录和文件的所有者/组都是www-data。我都在 Free BSD 上运行这一切。
我应该将网站文件放在 Apache 之外吗?如果有任何其他服务器安全提示,我们将不胜感激。
答案1
应用程序逻辑、配置和 htpasswd 文件等文件应放在您的私有范围内。您的公共范围应仅包含您的主 index.php 和您觉得方便让访问者下载到本地 PC 的文件,例如图像、javascript 文件和 CSS 文件。