3
我一直在檢查一些PHP源代碼和我往往不是查找文件與PHP-「定義或退出」在許多文件的開始?
defined('__someconstant__') or exit();
開始我知道,這阻止了文件,如果以前的文件規定__someconstant__直接訪問,但後來不知這是非常必要的......是不是有(甚至非基於PHP的)更乾淨的方式做到這一點,而不是在每個文件中引入額外的代碼?
A
回答
4
不存在(甚至非基於PHP)更乾淨的方式做到這一點,而無需在每個文件中引入額外的代碼?
存在這樣的片段表示代碼結構錯誤,即代碼在全局範圍內自動執行。您不應該在純函數/類包含中使用此or exit();代碼。那將是多餘的。
執行潛在危險操作的代碼首先不能通過網絡訪問。 or exit;方法是一種解決方法。然而,它應該總是伴隨着FilesMatch和Deny from All在.htaccess文件中。最好設置整個include目錄不可訪問。
4
爲了避免在(幾乎)每個文件的頂部那些(沒用)線,您可以:
Store中公開的「控制器」的文件(如在一個目錄的index.php稱爲網絡或公共上您的Web服務器的別名或虛擬主機指向
存放在其他目錄,如LIB,config,apps ...所有不應通過網絡服務器直接訪問的文件,只需鍵入一個URL即可。
這是典型的現有框架such as Symfony 1.x
此外,您可以(而且一定會爲URL重寫)把.htaccess文件,而是一個服務器配置錯誤可以順便禁用它的結構,因此保持源文件在不同的目錄是IMO更好。
+2
我很驚訝你唯一提到防止直接訪問你的文件的最安全的方法,即不要把它們放在文檔根目錄下! –
+0
@JohnCartwright是的,但這需要額外的配置。此外,這可能不是每個人都可以使用的選項,尤其是對於許多使用共享主機的人。 – NullUserException
+0
@NullUserExceptionఠ_ఠ當使用別名或虛擬主機時,配置難度相同(只需指向'{projectroot}/web'而不是'{projectroot}')。然而,你是對的,這將不適合於配置選項太少的共享主機。但是,如果您不想承擔太多風險(安全性,源代碼隱私,停機...),共享主機可能不是一種選擇。 –
0
添加到@ NullUserException的答案...
是有防止直接訪問的文件(的.htaccess是一個)的其他方式,但對與廣大觀衆共享軟件,可以」真的依賴於那些技術。儘管你可以依靠文件頂部的簡單條件。
相關問題
- 1. 在C++中定義循環中的許多輸出文件
- 2. 退出,殼牌開始
- 3. 許多文件的PHP filemtime
- 4. 退出;終止PHP解析當前的PHP文件或所有?
- 5. 作出的許多文件
- 6. 蝙蝠文件的開始和退出時間
- 7. 如何退出使用「開始」,在MSDOS
- 8. 退出;在PHP配置文件
- 9. 也許在「開始PHP和MySQL」
- 10. 從shell開始文件php
- 11. 退出狀態開始的open()
- 12. 用例的#pragma開始和#pragma退出
- 13. 自定義配置文件或本地化文件,也許?
- 14. 在UNIX中退出一個目錄中的許多文件的隱藏屬性
- 15. 許多小文件或一個大文件? (或者開放的開銷和關閉文件句柄)
- 16. 不允許兩個或更多零的正則表達式在自定義角度指令的開始
- 17. 自定義退出流行文本
- 18. 多個退出的決定
- 19. PHP - 在AJAX請求中退出或die()?
- 20. 通過PHP訪問許多用戶的開放式MDB文件
- 21. 在python中打開多個預定義的文本文件
- 22. 重定向PHP輸出(CLI)打開多個文件句柄
- 23. 開始與許多不同的數字
- 24. 許多文件類型的IFilter或SDK?
- 25. 傳播開始後直接退出
- 26. 臨時退出Gvim開始通過shell
- 27. `gulp`命令開始,但快速退出
- 28. UI畫布開始 - 退出遊戲
- 29. 守衛開始然後退出?
- 30. 定義或描述在軟件開發
'.htaccess'是依賴於網絡服務器的,這不是。 – NullUserException
是的。但是大多數其他服務器也應該有這樣的功能,如果沒有別的,但全局配置。 Nanoweb擁有'.nwaccess'和nginx一些迷你腳本語言,例如使用suphp/suexec安裝程序,您可以使用目錄權限。 – mario