我们的网站上有一个config.inc文件,可以直接在浏览器窗口中打开。它有一些凭据写在该config.inc文件中。如何避免从浏览器打开。
eg. www.example.com/config/config.inc
output
<?php
some credentials
?>
任何建议
1.把它放在你的网络根目录之外(推荐)
2.使用 htaccess 阻止 .inc 文件
<Files ~ "'.inc$">
Order allow,deny
Deny from all
</Files>
3.在检查变量的文件顶部进行快速检查。如果未设置该变量,则您知道它正在直接拉起,并且应该立即退出:
<?if(!defined('IN_SCRIPT')){header('HTTP/1.0 404 not found');exit;}?>
4.在文件名中添加php扩展名,以便将其解析为 PHP 或告诉 Apache 将 .inc 文件解析为 PHP
AddType application/x-httpd-php .inc
要么
将.php添加到扩展中,要么在您的 webroot 目录中创建一个包含此内容的.htaccess文件(当然,假设您使用的是 Apache):
<Files ~ "'.inc$">
Order allow,deny
Deny from all
</Files>