服务器端PHP代码是否在客户端可见或可访问？存储在服务器中的PHP脚本（包括PHP脚本中的公共方法）是否可能从客户端浏览器可见、可访问或可修改（包括但不限于浏览器中的控制台模式）？如果是，黑客是否能够注入任何代码或修改PHP脚本黑客是否可以将参数传递到PHP类方法中（无论是否指定了公共/私有/受保护/无可见性），并查看该方法中存在哪些代码，或者查看PHP脚本中存在哪些其他代码最好将PHP文件存储在其他地方而不是/www或/htdocs目录中_Php_Security_Web_Web Applications_Webserver

服务器端PHP代码是否在客户端可见或可访问？存储在服务器中的PHP脚本（包括PHP脚本中的公共方法）是否可能从客户端浏览器可见、可访问或可修改（包括但不限于浏览器中的控制台模式）？如果是，黑客是否能够注入任何代码或修改PHP脚本黑客是否可以将参数传递到PHP类方法中（无论是否指定了公共/私有/受保护/无可见性），并查看该方法中存在哪些代码，或者查看PHP脚本中存在哪些其他代码最好将PHP文件存储在其他地方而不是/www或/htdocs目录中

php security web web-applications

服务器端PHP代码是否在客户端可见或可访问？存储在服务器中的PHP脚本（包括PHP脚本中的公共方法）是否可能从客户端浏览器可见、可访问或可修改（包括但不限于浏览器中的控制台模式）？如果是，黑客是否能够注入任何代码或修改PHP脚本黑客是否可以将参数传递到PHP类方法中（无论是否指定了公共/私有/受保护/无可见性），并查看该方法中存在哪些代码，或者查看PHP脚本中存在哪些其他代码最好将PHP文件存储在其他地方而不是/www或/htdocs目录中,php,security,web,web-applications,webserver,Php,Security,Web,Web Applications,Webserver,如果上述情况属实，可以采取哪些补救措施 PHP是一种服务器端语言，意味着它运行的任何东西都将在您的服务器上运行和呈现，唯一发送回客户机的是您给它的响应。这意味着没有PHP代码在web浏览器中可见，也无法通过控制台访问任何人能够将参数传递到PHP方法的唯一时间是，如果您设计代码，以便URL查询参数或表单数据通过方法运行。即使这样，他们也无法看到实际的代码，除非您有目的地返回您的代码，您可以立即注意到这一点。作为预防措施，最好过滤和转义任何用户输入，以避免SQL注入和其他类型的恶意输入我相信这取

如果上述情况属实，可以采取哪些补救措施

PHP是一种服务器端语言，意味着它运行的任何东西都将在您的服务器上运行和呈现，唯一发送回客户机的是您给它的响应。这意味着没有PHP代码在web浏览器中可见，也无法通过控制台访问

任何人能够将参数传递到PHP方法的唯一时间是，如果您设计代码，以便URL查询参数或表单数据通过方法运行。即使这样，他们也无法看到实际的代码，除非您有目的地返回您的代码，您可以立即注意到这一点。作为预防措施，最好过滤和转义任何用户输入，以避免SQL注入和其他类型的恶意输入

我相信这取决于个人意见，但是，您可以在合理的范围内的任何地方存储PHP文件。您应该将可公开访问的php文件存储在您的htdocs或www文件夹中，因为人们需要访问这些文件，但您始终可以选择在htdocs目录之外通过预先添加

来使用require\u once
或require
或include
：例如require\u once（../my\u file.php”）（此文件不可公开访问，但在您运行请求它的可公开访问的php页面时，它将被包括在内，这对于您希望包含函数文件等非常有用）


编辑：正如GetSet所提到的，是的，服务器的错误配置等会允许用户以纯文本的形式查看代码。此外，保留FTP和SSH的默认用户名/密码也将成为进入服务器的后门，以便有人查看您的代码。只需确保服务器配置正确，并遵循严格的安全标准。
我建议阅读本页（和子页）：之后，您将知道此问题的正确答案。配置不当的服务器可能会导致php脚本被下载而不是呈现。“您应该将可公开访问的php文件存储在您的htdocs或www文件夹中，因为人们需要访问这些文件”。这并不是普遍正确的。例如，对于nginx和php fpm，没有理由将任何php文件保留在任何根目录中。这不是一个观点，即这是一种最佳做法。