PHP:使用index.PHP作为引导程序安全吗?
我这样问是因为在一个合适的app index.php文件中,似乎唯一调用过的就是require_once引导文件。我假设这增加了一层安全性,但如果不是,这种模式似乎毫无意义。为什么不直接使用index.php文件作为引导?任何意见、警告、想法等都将不胜感激PHP:使用index.PHP作为引导程序安全吗?,php,security,bootstrapping,Php,Security,Bootstrapping,我这样问是因为在一个合适的app index.php文件中,似乎唯一调用过的就是require_once引导文件。我假设这增加了一层安全性,但如果不是,这种模式似乎毫无意义。为什么不直接使用index.php文件作为引导?任何意见、警告、想法等都将不胜感激 (顺便说一下,我的htaccess文件正在将所有请求路由到index.php文件…我不知道这会暴露出任何漏洞。如果apache配置错误,将空白index.html或index.php放入文件夹可以防止攻击者获取目录列表 无论引导过程是在索引文
(顺便说一下,我的htaccess文件正在将所有请求路由到index.php文件…我不知道这会暴露出任何漏洞。如果apache配置错误,将空白index.html或index.php放入文件夹可以防止攻击者获取目录列表 无论引导过程是在索引文件中还是在单独的文件中,都没有固有的安全性差异 拥有一个单独的文件通常是出于组织方面的考虑(例如,拥有一个可以从其他地方包含的文件来导入应用程序的功能,或者将所有任务放入正确命名的文件中,或者使向启动过程添加自定义扩展名变得特别容易)
但是,包含敏感信息的配置文件(有时,甚至很少,除了索引文件之外的所有PHP文件)将尽可能放置在web根目录之外。这将带来安全性差异,因为如果服务器意外配置错误,无法从外部访问PHP文件。在安全环境中,只有index.PHP位于文档根目录中,所有其他PHP文件都应位于文档根目录之外,因此,当index.php文件仅包含文档根目录之外的引导文件时,这是有意义的。感谢您的响应Pekka。如果索引需要外部引导,并且出现了意外的服务器错误配置,那么安全问题仍然存在吗?@shanebo否,如果PHP文件的解析方式存在错误配置,那么引导将不会首先获取(并且无法从web根目录访问)。