我的根文件夹中有一个 config.php。用户可以访问,domain.com/config.php
但是该文件不会回显/打印任何配置。我是否仍需要在某些 .htaccess 规则中拒绝,或者它是否安全?
具体来说,这是一个 wordpress 应用程序,我刚刚意识到我可以打开 wp-config.php
答案1
由于某些原因(临时配置错误、升级……),Web 服务器的 PHP 处理程序出现故障的情况并非第一次。如果存在页面被加载为纯文本而不是脚本的风险,您最终会泄露您的密码。
比任何限制都更安全的.htaccess方法是将配置文件保留在文档根目录之外(例如,在~/conf/而不是)。如果 a)将文件放在其原始位置,并且 b) 即使 Web 服务器无法访问这两个文件,PHP 也可以访问这两个文件,那么~/public_html/CMS 或其他应用程序甚至不会识别出任何差异。include()