下载php文件？

可以从php文件所在的服务器下载php文件吗？我是网络领域的初学者，我担心黑客可能会有特殊的工具下载、查看我的代码并了解我在哪里编写了易受攻击的代码来攻击我的网站。

如果服务器配置正确并且代码中没有安全漏洞，那么不，这是不可能的

如果你有

echo file_get_contents($_GET['myFile']);

---

然后，这可以用来获得你的代码-永远不要这样做

不可能直接将源代码下载到通过Apache处理的php文件中，除非您的web服务器出于任何原因突然中断，并停止通过php解释器提供php文件，如果您正在混乱设置，可能已经中断

一个非常熟练的黑客可能会渗透到你的web服务器上，并且很容易在上面下载任何东西，但是这种可能性非常非常低。如果你不是一家大公司，那么谁会愿意花时间真正攻击你呢

---

另一点需要指出的是，无论何时处理用户输入，都要进行清理，否则很容易受到常见的XSS攻击、转义字符串，不要依赖PHP_SELF，还有很多其他清理工作可以完成

Web服务器的配置决定了是否应该将文件解析到php解析器。这通常基于文件扩展名。因此，将解析以.php结尾的文件，对于php源代码，您将使用.phps。因此，Web服务器上用于生成动态内容的.php文件不能作为源文件下载

黑客不需要你的源代码就能侵入你的网站。事实上，OWASP top 10上的大多数漏洞不需要源代码即可利用：

---

Acunetix或开源项目Wapiti等黑盒漏洞扫描器可以轻松发现SQL注入、XSS和源代码泄露漏洞。这是一个很棒的工具

在9/10案例中，坏人下载php源代码的方式是将备份文件保存在webroot中，比如foo.php.bak或foo.php.old或.backup。默认情况下，这些文件作为普通文件使用，因此除了上述建议外，还要注意这个问题。

似乎可疑地像是acunetix的广告，不确定重新使用1500美元的工具是否是这家伙的最佳答案，也许我只是脾气暴躁/敏感。是的，你说得对，我添加了指向马皮蒂的链接，马皮蒂踢屁股：干杯，马比蒂应该好好招待他！一个好的安全服务器，禁用了PHP文件功能。即使在这种情况下，如果该文件具有可执行权限，也不会造成任何损害。损害是坏人下载了你的源代码。