Php 如何避免恶意使用下载属性？_Php_Html_Mysql_Sql Server_Server

Php 如何避免恶意使用下载属性？

php html mysql sql-server server

Php 如何避免恶意使用下载属性？,php,html,mysql,sql-server,server,Php,Html,Mysql,Sql Server,Server,例如，使用Chrome中的开发者工具，可以将页面上任何链接的目标更改为index.php，并向该链接添加下载属性。然后只需单击该链接，就会执行index.php的下载，前提是index.php存在于网站上，并且与我所在的页面位于同一目录中。考虑到PHP在世界上的广泛使用（超过80%的网站），我猜每一个网站都包含index.PHP。事实上，我试着从随机网站下载了一些文件——所有者不知道，但他们很幸运，我不打算滥用他们的数据。在几乎所有成功下载index.php的案例中，我都找到了一种方法来查找My

例如，使用Chrome中的开发者工具，可以将页面上任何链接的目标更改为index.php，并向该链接添加下载属性。然后只需单击该链接，就会执行index.php的下载，前提是index.php存在于网站上，并且与我所在的页面位于同一目录中。考虑到PHP在世界上的广泛使用（超过80%的网站），我猜每一个网站都包含index.PHP。事实上，我试着从随机网站下载了一些文件——所有者不知道，但他们很幸运，我不打算滥用他们的数据。在几乎所有成功下载index.php的案例中，我都找到了一种方法来查找MySQL数据库的凭据（如果正在使用的话）。

现在我正在做我的网站，希望避免这种情况。怎么做的？我购买了web主机并可以访问php.ini。谢谢。

Php在服务器端执行，永远无法从面向前端的客户端下载或访问。您可能会看到index.php代码，但这只是显示HTML，而不是实际的php，因此您不必担心这一点。

但显然要确保html上没有显示用户名或密码等重要信息，因为每个人都可以访问这些信息，任何javascript都可以使用开发工具查看。

但是，显然要确保html上没有显示任何重要信息，例如用户名或密码，因为每个人都可以访问这些信息，使用开发工具也可以看到任何javascript。

如果数据库的凭据位于问题所在的页面中。这是构建任何应用程序的可怕方式。这些类型的内容应始终位于配置文件或ini文件中。这使得它成为一个可以更改的单一位置，并且您还可以很容易地阻止在iis或apache中提供该类型的文件。将您的站点开发为开源站点。秘密应该存储在不可访问的文件中。因此，您找到了一种下载index.php作为下载的方法。。。你真的看到了未解析的php代码吗？如果数据库的凭据在问题所在的页面中。这是构建任何应用程序的可怕方式。这些类型的内容应始终位于配置文件或ini文件中。这使得它成为一个可以更改的单一位置，并且您还可以很容易地阻止在iis或apache中提供该类型的文件。将您的站点开发为开源站点。秘密应该存储在不可访问的文件中。因此，您找到了一种下载index.php作为下载的方法。。。你真的看到了未解析的php代码吗？