想到一个小白问题，网站目录下PHP文件的安全问题

Dio · 发表于 2021-12-25 15:21:32

本帖最后由 Dio 于 2021-12-25 15:33 编辑

谢谢大佬答疑，是我把PHP理解成传统文件了，以为知道路径和名称，就能把文件或者里面的内容给拉走

nginx如果没有特别设置过，网站目录下的文件，知道路径，好像就可以随便拉下面文件？

然后我就想到PHP文件的安全问题，比如WP的wp-config.php，这里面就写了数据库的用户名和密码，被拉走岂不是危险了

然后我自己试了下，好像没法拉走PHP文件的样子？要么显示空页面状态返回200，要么就是出现几行PHP报错

不过WP这种成熟的程序，应该不会像我想的这么简单吧，但是是如何实现网站目录下PHP文件的安全呢？

专收爆米花 · 发表于 2021-12-25 15:22:44

断网，然后在127.0.0.1的环境下运行php网站

Dio · 发表于 2021-12-25 15:24:37

专收爆米花发表于 2021-12-25 15:22
断网，然后在127.0.0.1的环境下运行php网站

抱歉啊，我真的是不太懂

别开玩笑啊大佬

我只好好奇，因为专门试了几种文件都能拉取，然后就想到PHP这块

菜单 · 发表于 2021-12-25 15:26:36

你拉拉loc的试试

flyqie · 发表于 2021-12-25 15:27:30

本帖最后由 flyqie 于 2021-12-25 15:35 编辑

你是怎么会有这种想法的...

apache/nginx配置问题等因素就不说了.

说个最简单的方法, 只要你网站页面还能正常访问, 他就拉不走你的配置文件!

以nginx为例, 如果配置正常的话, nginx会直接转给php-fpm处理, 处理完之后php-fpm将执行结果返给nginx.

在这种情况下php的解析与执行是php-fpm处理的, 并不会出现直接将php文件内容暴露出来的问题。

oimo · 发表于 2021-12-25 15:28:02

你访问php肯定返回解释后的东西啊，不然我们平时上网看的是源码吗

Kimiato · 发表于 2021-12-25 15:28:43

返回的解释后的内容，只要网站配置正常，就不用担心这个问题

Dio · 发表于 2021-12-25 15:31:37

flyqie 发表于 2021-12-25 15:27
你是怎么会有这种想法的...

apache/nginx配置问题等因素就不说了.

可能是因为我把PHP文件理解成传统文件了，比如ZIP，视频，图片，TAG.GZ这种，因为它们确实知道路径和名称可以直接拉

盯裆猫 · 发表于 2021-12-25 15:36:53

首先是网站运行目录，你只能访问当前目录下的文件，他的兄弟文件夹，父文件夹都不能访问。其次php是解释性语言，你访问到的都是经过服务器处理的。

职业菜鸟 · 发表于 2021-12-25 15:38:42

全站真静态可破

		自动登录	找回密码
密码			注册