我手头有一个较旧的 Laravel 5.7 项目。Laravel 的当前版本是 8。我不知道这些详细信息是否与我的问题相关,但我还是要添加它们。我有一个运行 IP 地址(无域名)的测试服务器,以便客户在将新功能推送到 GitHub 时查看进度。此 GitHub 项目设置为私有,并且服务器已正确配置为仅显示公共文件夹。私有存储库也没有硬编码文件.env,因此即使有人进入我的 GitHub,他也无法从文件中获取任何真实信息.env,因为它是空白的并且直接在服务器上配置。
我的主要问题是,我正在使用 Mailtrap 进行测试,但一直收到未经授权的邮件,如下所示:
我曾尝试删除我的 Mailtrap 邮箱并重新创建它以获取新凭据,但总会有一些随机的脚本小子破解 SMTP 服务器。目前,由于我的 SMTP 已连接到 Mailtrap,因此这无害。但当我将真正的网站上线时,我很担心这些破解者是如何做到这一点的。
有任何想法吗?
答案1
发生这种情况的主要原因是:
- 您的生产网站是APP_DEBUG = true
将 .env 中的设置更改为 false 以进入调试模式,否则如果有人可以让您的网站显示错误页面,您的应用详细信息将可见。
- 你的网站配置不正确,.env 可见
尝试访问 yourwebsite.com/.env 或 your.ip.add.ress/.env,看看是否可以查看你的 .env 文件
- 您已将 Laravel 安装到子目录中,这意味着您的站点文件可见