我在每个页面的顶部导入网站文件使用:
require_once('../file.php');
这个方法正确吗?或者我应该使用不同的PHP函数/方法来访问私有文件?我担心这种方法可能容易受到目录遍历攻击。
这个方法正确吗?
是的。
或者我应该使用不同的PHP函数/方法来访问私有文件?
不,把它们放在文档根目录之外就足够了。例如,如果您的应用程序中存在本地文件包含漏洞,那么您应该集中精力修复这些漏洞,而不是试图隐藏您的敏感文件。
是的,这是一个很好的做法。但是,如果它不可能-把一些文件在网站www目录,然后你可以创建。htaccess文件(为apache)在私人文件夹的内容:
deny from all