我可以安全地将config.php放在您网站的根目录中,即使它已将预设设置为644吗?
答案 0 :(得分:2)
你的config.php应该可以被你的web serevr读取,而且没有摆弄权限会改变它。 把它放在其他任何地方都没有多大帮助 - 因为你的php代码应该能够读取它,任何设法在你的服务器上运行他的代码的黑客都能够读取它。
所以,无论你把它放在哪里,它都有被黑客访问的危险,而黑客却成功破解了你的服务器。将它放在Web根目录中并不比将它放在其他地方更安全。
答案 1 :(得分:1)
只要没有人拥有对您的服务器的SSH或FTP访问权限,并且您的网站中没有允许任何人访问PHP文件源的错误/安全漏洞,这应该是相当不错的。
请注意,您的Apache用户必须访问该文件(因此它可以包含在其他PHP脚本中);所以,无论你把它放在哪里,如果你有一个安全漏洞允许用户读取PHP文件,它就不会改变它。
一个想法可能是将该文件放在文档根目录之外,或者放在受.htaccess文件保护的目录内,拒绝任何人访问 - 至少,这样,如果您的服务器配置不当并显示源代码PHP文件,该文件的内容将不会显示(因为它无法通过HTTP直接访问/提供)。
这对于允许PHP文件显示其他PHP文件内容的安全漏洞(我已经看到了这种情况),这无济于事,但这仍然是第一步