我开始为我的web服务器设置安全性。为此,我在www文件夹外创建了一个文件夹,我把config.php放在那里。这个文件保存敏感的数据库信息。
我有两个问题:
1) 我应该把它放在www文件夹里,然后把其他的东西都移到一个级别,让我的网络服务器指向那个新的网络根吗?
2) 我应该设置什么权限?
目前我已经设置了
owner to root (read-only)
group to root (read-only)
others (read-only) as well
我只是真的很担心别人。我应该为它指定一个用户还是创建一个新的组?还请提及任何其他考虑因素。感谢
编辑:我忘了提一下,我的网络服务器发行版是Ubuntu 10.10。编辑2:我的web服务器是nginx
如果你确实将config.php文件移到了www之外,你可能会遇到openbase_dir问题,这将不允许将该脚本作为php文件处理(仅在某些服务器配置上)。我认为,只要不回显所有信息,就没有必要将配置文件移到www文件夹之外。
请记住,如果您的服务器正确处理php文件,您的服务器将不会向世界透露文件内容。
因此:1) 保存在www文件夹中2) 我把我的设置为644
查看此以获取更多安全信息:http://www.acunetix.com/websitesecurity/php-security-3.htm
祝你好运,Joe
我觉得应该关闭安全模式,但它已被弃用或将config.php移动到config/,然后将其放在config/.htaccess中:Deny from All