立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 74|回复: 9

想到一个小白问题,网站目录下PHP文件的安全问题

[复制链接]

想到一个小白问题,网站目录下PHP文件的安全问题

[复制链接]

33

主题

36

回帖

227

积分

中级会员

积分
227
Dio

33

主题

36

回帖

227

积分

中级会员

积分
227
2021-12-25 15:21:32 | 显示全部楼层 |阅读模式
本帖最后由 Dio 于 2021-12-25 15:33 编辑

谢谢大佬答疑,是我把PHP理解成传统文件了,以为知道路径和名称,就能把文件或者里面的内容给拉走








nginx如果没有特别设置过,网站目录下的文件,知道路径,好像就可以随便拉下面文件?


然后我就想到PHP文件的安全问题,比如WP的wp-config.php,这里面就写了数据库的用户名和密码,被拉走岂不是危险了


然后我自己试了下,好像没法拉走PHP文件的样子?要么显示空页面状态返回200,要么就是出现几行PHP报错




不过WP这种成熟的程序,应该不会像我想的这么简单吧,但是是如何实现网站目录下PHP文件的安全呢?
回复

使用道具 举报

90

主题

515

回帖

2321

积分

金牌会员

积分
2321
专收爆米花

90

主题

515

回帖

2321

积分

金牌会员

积分
2321
2021-12-25 15:22:44 | 显示全部楼层
断网,然后在127.0.0.1的环境下运行php网站
回复

使用道具 举报

33

主题

36

回帖

227

积分

中级会员

积分
227
Dio 楼主

33

主题

36

回帖

227

积分

中级会员

积分
227
2021-12-25 15:24:37 | 显示全部楼层

专收爆米花 发表于 2021-12-25 15:22

断网,然后在127.0.0.1的环境下运行php网站

抱歉啊,我真的是不太懂

别开玩笑啊大佬

我只好好奇,因为专门试了几种文件都能拉取,然后就想到PHP这块

回复

使用道具 举报

42

主题

3145

回帖

7050

积分

论坛元老

积分
7050
菜单

42

主题

3145

回帖

7050

积分

论坛元老

积分
7050
2021-12-25 15:22:00 | 显示全部楼层
你拉拉loc的试试
回复

使用道具 举报

46

主题

858

回帖

2762

积分

金牌会员

积分
2762
flyqie

46

主题

858

回帖

2762

积分

金牌会员

积分
2762
2021-12-25 15:26:36 | 显示全部楼层
本帖最后由 flyqie 于 2021-12-25 15:35 编辑

你是怎么会有这种想法的...

apache/nginx配置问题等因素就不说了.

说个最简单的方法, 只要你网站页面还能正常访问, 他就拉不走你的配置文件!

以nginx为例, 如果配置正常的话, nginx会直接转给php-fpm处理, 处理完之后php-fpm将执行结果返给nginx.

在这种情况下php的解析与执行是php-fpm处理的, 并不会出现直接将php文件内容暴露出来的问题。
回复

使用道具 举报

6

主题

103

回帖

442

积分

中级会员

积分
442
oimo

6

主题

103

回帖

442

积分

中级会员

积分
442
2021-12-25 15:27:30 | 显示全部楼层
你访问php肯定返回解释后的东西啊,不然我们平时上网看的是源码吗
回复

使用道具 举报

7

主题

65

回帖

437

积分

中级会员

积分
437
Kimiato

7

主题

65

回帖

437

积分

中级会员

积分
437
2021-12-25 15:28:02 | 显示全部楼层
返回的解释后的内容,只要网站配置正常,就不用担心这个问题
回复

使用道具 举报

33

主题

36

回帖

227

积分

中级会员

积分
227
Dio 楼主

33

主题

36

回帖

227

积分

中级会员

积分
227
2021-12-25 15:28:43 | 显示全部楼层

flyqie 发表于 2021-12-25 15:27

你是怎么会有这种想法的...

apache/nginx配置问题等因素就不说了.

可能是因为我把PHP文件理解成传统文件了,比如ZIP,视频,图片,TAG.GZ这种,因为它们确实知道路径和名称可以直接拉
回复

使用道具 举报

26

主题

187

回帖

962

积分

高级会员

积分
962
盯裆猫

26

主题

187

回帖

962

积分

高级会员

积分
962
2021-12-25 15:31:37 | 显示全部楼层
首先是网站运行目录,你只能访问当前目录下的文件,他的兄弟文件夹,父文件夹都不能访问。其次php是解释性语言,你访问到的都是经过服务器处理的。
回复

使用道具 举报

80

主题

1754

回帖

4824

积分

论坛元老

积分
4824
职业菜鸟

80

主题

1754

回帖

4824

积分

论坛元老

积分
4824
2021-12-25 15:27:00 | 显示全部楼层
全站真静态 可破
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-23 12:52 , Processed in 0.024550 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表