[转]PHP安全之防止你的源代码或重要配置信息暴露在外

最新推荐文章于 2024-10-13 21:07:57 发布
最新推荐文章于 2024-10-13 21:07:57 发布
阅读量323 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liNewman/article/details/86575890
文章讨论了在PHP项目中保护源代码和敏感配置信息的重要性,提出了将包含文件放置于网站目录之外的方法,并介绍了如何在Apache上配置阻止特定文件类型在浏览器上访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[转]PHP安全之防止你的源代码或重要配置信息暴露在外

发现现在的项目是把所有的包含文件放在主目录下面,如下图:
PHP安全之防止你的源代码或重要配置信息暴露在外
网站目录为public,除了入口文件,所有的源码及配置文件,都在网站目录外。
刚开始没有意识到为什么这么做,后来想了想,真的很有必要,否则很容易就吧源代码和一些重要信息暴露在外了:
(1)比如说.inc扩展名的配置文件,和其它文本类型的文件,直接就可以在浏览器上访问了,很多能这里面就有数据库的账号啊
(2)如果你的apache还没有对PHP支持的时候,php文件也会默认作为文本类型在浏览器上访问【升级apache,或修改配置的时候可能出现】
如果将你的程序包含在网站目录之外,就避免了保留私密信息的危险。当然,你可以在apache上配置如禁止在浏览器上访问.inc文件:

 
   
  1.  ~ "\.inc$">
  2.  Order allow,deny
  3.  Deny from all

   
 
 类似的很多细节很容易被运维人员忘记。
 
   
  
 
   

     转载请注明地址: 
    http://www.phpddt.com/php/php-exposure-code.html 尊重他人劳动成果就是尊重自己!
   
 
  

  
 
  
 
  
 
   
 
   
 
   
 
   
 
   
 
   
 
  
 
 
 
 

  posted @ 
  2016-01-07 15:39 
  Newman·Li 阅读(
  ...) 评论(
  ...) 
  编辑 
  收藏
 
 


                

        

    

    
  



    

      

        

            

              
                
                  liNewman
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
php防止恶意刷新页面的方法

				
			

			

				

					u011252402的专栏
				

				

					08-11
					
					7468
					
				

			

		

		

			
				
php防止恶意刷新页面的方法



一般来说,恶意刷新就是不停的去刷新提交页面,导致出现大量无效数据,下面我们来总结一下php 防止恶意刷新页面方法总结。

防止恶意刷页面的原理是:

要求在页面间传递一个验证字符串, 

在生成页面的时候 随机产生一个字符串, 

做为一个必须参数在所有连接中传递。同时将这个字符串保存在session中。

点连接者表单进入页面后,

			
		

	



                

            
              



	

		

			

				
					
网络信息安全技术研究

					
最新发布

				
			

			

				

					
				

				

					01-17
					
					745
					
				

			

		

		

			
				
摘 要



随着互联网的时代,网络信息已经完全渗透到人们的社会生活。然而,互联网的出现和发展不仅给人们的生活和工作带来了便利,也引发了一系列的网络信息安全问题。因此,如何利用网络信息安全技术有效地消除网络安全问题,网络用户创建一个安全的网络环境已经成为当务之急。摘要当前环境的网络信息安全问题的类型和原因识别和管理计算机网络信息安全技术的应用策略进行了详细的分析。在新的历史发展阶段,社会经济发展水平不断提高,科学技术发展速度越来越快,计算机网络信息技术影响着社会生活的各个领域。在当今社会,我们的日常学习和生

			
		

	



              


  
              

                


	

		

			

				
					
PHP安全编程:防止源代码暴露()

				
			

			

				

					weixin_34128501的博客
				

				

					07-29
					
					749
					
				

			

		

		

			
				
关于包含的一个重要问题是源代码暴露。产生这个问题主要原因是下面的常见情况: 

对包含文件使用.inc的扩展名
包含文件保存在网站主目录下
Apache未设定.inc文件的类型
Apache的默认文件类型是text/plain 

上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。 
避免...

			
		

	





	

		

			

				
					
php防源码泄漏,PHP源码防泄漏方法

				
			

			

				

					weixin_32067105的博客
				

				

					04-11
					
					816
					
				

			

		

		

			
				
四条预防PHP源代码泄漏的方法:1)使用mod_security过滤输出严防泄漏 Use mod_security to filter output and prevent leakage (例如)PHP代码SecFilterOutput OnSecFilterSelective OUTPUT “...

			
		

	



		

			
		



	

		

			

				
					
php防止源代码,(预防PHP源代码泄漏的建议) | 学步园

				
			

			

				

					weixin_27070451的博客
				

				

					03-09
					
					392
					
				

			

		

		

			
				
(预防PHP源代码泄漏的建议)1)使用mod_security过滤输出严防泄漏 Use mod_security to filter output and prevent leakage (例如)PHP代码1. SecFilterOutput On2. SecFilterSelective OUTPUT "...

			
		

	





	

		

			

				
					
php 源码 暴露,PHP安全-源码暴露(二)

				
			

			

				

					weixin_35128544的博客
				

				

					03-21
					
					257
					
				

			

		

		

			
				
源码暴露你的WEB服务器必须要能够读取你的源确并执行它,这就意味着任意人所写的代码被服务器运行时,它同样可以读取你的源码。在一个共享主机上,最大的风险是由于WEB服务器是共享的,因此其它开发者所写的PHP代码可以读取任意文件。header('Content-Type: text/plain');readfile($_GET['file']);?>通过在你的源码所在的主机上运行上面脚本,攻击者...

			
		

	





	

		

			

				
					
PHP 安全系列漏洞修复

				
			

			

				

					01-07
				

			

		

		

			
				
### 如何修复 PHP 安全漏洞的最佳实践  #### 错误处理与日志记录的重要性...一旦有新的修补包可用就应当迅速部署到位,以减少暴露在外的风险窗口期。此外,还应该定期检查现有环境配置是否存在薄弱环节并加以强化[^3]。

			
		

	





	

		

			

				
					
PHP文件加密软件

				
			

			

				

					07-11
				

			

		

		

			
				
PHP源代码暴露在外,任何了解PHP的人都可能查看、修改盗用代码,这不仅威胁到软件的安全性,也可能导致商业秘密泄露。因此,加密PHP代码是保护开发者利益的重要手段。  PHP文件加密的方法多种多样,其中包括源...

			
		

	





	

		

			

				
					
【CTF】敏感信息泄露 GIT SVN VIM

				
			

			

				

					2302_79596028的博客
				

				

					10-13
					
					1017
					
				

			

		

		

			
				
这类题目通过模拟开发人员的疏忽系统配置的失误,导致敏感文件数据被泄露。信息泄露题目通常相对简单,但能帮助参赛者掌握如何从公开的信息中获取潜在的线索利用目标系统的疏漏获取访问权限。在开发中,如果不小心暴露了.git目录,攻击者可以通过访问此目录来获取项目的整个历史版本和敏感信息。如果项目的.svn目录泄露,攻击者可以获取项目的源码和历史记录,类似于Git的信息泄露。)没有被正确保护误上传至公开的服务器,攻击者可以轻松获取其中的敏感信息。这些备份文件如果没有正确删除保护,可能会导致敏感数据的泄露。

			
		

	





	

		

			

				
					
php防止源代码,PHP安全编程:防止源代码暴露

				
			

			

				

					weixin_26735445的博客
				

				

					03-09
					
					529
					
				

			

		

		

			
				
关于包含的一个重要问题是源代码暴露。产生这个问题主要原因是下面的常见情况:对包含文件使用.inc的扩展名包含文件保存在网站主目录下Apache未设定.inc文件的类型Apache的默认文件类型是text/plain上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。避免这种情况很容易。只能重组你的应用,把所...

			
		

	





	

		

			

				
					
php 商业源码加密保护,关于PHP源码加密保护的方式

				
			

			

				

					weixin_31047023的博客
				

				

					03-11
					
					1363
					
				

			

		

		

			
				
很久没写关于技术类文章了,记得以前写关于技术类的文章都是15年前的事儿了,这篇文章有点软广告的性质,愿意读的请继续,如不耐烦的请关闭。当然后续我也会更新一些业务实现的文章。PHP加密方式很多,大多数作者通过源码混淆加密形式保护代码,我们提供的加密方式是以核心源码授权保护形式,作者可以把部分核心源码给予我们,我们再做二次加密,并且给作者提供授权的KEY和.so.dll的PHP内核文件,作者要求购买...

			
		

	





	

		

			

				
					
PHP实现限制域名从而保护源代码不被拷贝

				
			

			

				

					吴志泽 ` Tech blog
				

				

					08-05
					
					4589
					
				

			

		

		

			
				
PHP编写好的源码,如果不想被其它人直接利用怎么办?首先想到的是加密,但现在除了Zend 5加密还比较难破解外,其它的加密方式都不堪一击。即使不破解,不怀好意的人同样可以使用你的源码搭建一个和你一模一样的一个网站。这岂不是使你的劳动成果白白的被别人占为己有。下面介绍一种方法即限制域名的方法来保护你的源代码不被直接拷贝运行。

如何通过程序限制域名从而保护源码呢?比如你所做的网站将来要使用的是

			
		

	





	

		

			

				
					
PHP代码审计6—文件包含漏洞

				
			

			

				

					W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
				

				

					07-27
					
					2160
					
				

			

		

		

			
				
文件包含漏洞整理与历史漏洞分析

			
		

	





	

		

			

				
					
员工信息管理系统的PHP源代码与MySQL数据库整合

				
			

			

				

					
				

			

		

		

			
				
根据提供的文件信息,可以看出文件内容涉及到人事管理系统,特别是使用PHP语言开发的源代码以及与之配套的MySQL数据库。这一主题覆盖了多个知识点,包括但不限于Web开发、数据库管理、PHP编程技术以及人事管理系统的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值