包含來自外部public_html的文件是否安全？

Question

我正在使用一個系統，在這個系統中，只有當用戶登錄正確時才允許用戶訪問大部分頁面。如果登錄通過，我將不再檢查每個頁面上的正確登錄信息，而是檢查索引頁面，幷包括此頁面中的所有其他子頁面。

爲了確保沒有人能夠通過他們的直接URL訪問任何其他網站，我會將所有頁面放在public_html之外，並使用路徑'../page.php'將它們包括在內。

這是一種安全的做事方式，還是我缺少其他安全漏洞？

Answer 1

不要直接從usr輸入或用戶可以操作的變量構建include路徑，而應該沒問題。根據項目的規模，您可能更願意查看PHP框架。

Answer 2

是的，這是很安全的。假設public_html是您的Web服務器的根目錄，則用戶將無法直接訪問它之外的文件。

假設你的Web服務器是htaccess指令兼容，你也可以做出這樣的文件夾public_html/private與.htaccess文件，其中包含：

Deny from all 

如果你不想污染文件夾的public_html與外網頁內容的東西。