| 本帖最后由 Dio 于 2021-12-25 15:33 编辑
谢谢大佬答疑,是我把PHP理解成传统文件了,以为知道路径和名称,就能把文件或者里面的内容给拉走 nginx如果没有特别设置过,网站目录下的文件,知道路径,好像就可以随便拉下面文件? 然后我就想到PHP文件的安全问题,比如WP的wp-config.php,这里面就写了数据库的用户名和密码,被拉走岂不是危险了 然后我自己试了下,好像没法拉走PHP文件的样子?要么显示空页面状态返回200,要么就是出现几行PHP报错 不过WP这种成熟的程序,应该不会像我想的这么简单吧,但是是如何实现网站目录下PHP文件的安全呢? |
| 断网,然后在127.0.0.1的环境下运行php网站 |
抱歉啊,我真的是不太懂 别开玩笑啊大佬 我只好好奇,因为专门试了几种文件都能拉取,然后就想到PHP这块 |
| 你拉拉loc的试试 |
| 本帖最后由 flyqie 于 2021-12-25 15:35 编辑
你是怎么会有这种想法的… apache/nginx配置问题等因素就不说了. 说个最简单的方法, 只要你网站页面还能正常访问, 他就拉不走你的配置文件! 以nginx为例, 如果配置正常的话, nginx会直接转给php-fpm处理, 处理完之后php-fpm将执行结果返给nginx. 在这种情况下php的解析与执行是php-fpm处理的, 并不会出现直接将php文件内容暴露出来的问题。 |
| 你访问php肯定返回解释后的东西啊,不然我们平时上网看的是源码吗 |
| 返回的解释后的内容,只要网站配置正常,就不用担心这个问题 |
可能是因为我把PHP文件理解成传统文件了,比如ZIP,视频,图片,TAG.GZ这种,因为它们确实知道路径和名称可以直接拉 |
| 首先是网站运行目录,你只能访问当前目录下的文件,他的兄弟文件夹,父文件夹都不能访问。其次php是解释性语言,你访问到的都是经过服务器处理的。 |
| 全站真静态 可破 |