所以我有点困惑狡猾的用户在网站上能看到什么,不能看到什么。
如果我有一个文件有一堆php脚本,用户只需点击"查看源代码"就看不到它。但是有没有办法可以"下载"包括php在内的整个页面?
如果权限设置应该将页面设置为,如果有php脚本必须在加载时执行,但我不想让任何人看到?
感谢
两步。
步骤1:只要你的PHP处理得当,就没什么好担心的。。。这样做。
第2步:作为一种保险措施,将大部分PHP代码移出Web服务器目录,然后从目录中的PHP文件中包含它。PHP将包含在文件系统中,因此可以访问这些文件,但Web服务器不会。一旦Web服务器出现问题并提供您的原始PHP代码(Facebook曾发生过这种情况),用户将看不到任何内容,只会看到对他们无法访问的文件的引用。
PHP文件在发送到web浏览器之前由服务器进行处理。也就是说,客户端看不到实际的PHP代码、注释等。对于访问你的php文件的人来说,他们必须通过FTP或SSH或类似的方式侵入你的服务器,你会遇到比你的php更大的问题。
它完全取决于您的web服务器及其配置。web服务器的工作是获取url并决定是运行脚本还是发回文件。通常,文件系统中文件名、文件目录或文件权限属性的后缀用于做出此决定。
PHP是一种在服务器上执行的服务器端脚本语言。客户端无法访问它。
如果启用了PHP,并且程序标记良好,则任何PHP代码都不会通过您的web服务器。为了更安全,请禁用目录浏览,并在所有文件夹中放入一个空的index.php或index.html。
确保您也遵守安全的编码实践。网上有相当多的文章。这是一个http://www.ibm.com/developerworks/opensource/library/os-php-secure-apps/index.html