1
我需要上傳到我的服務器一個高靈敏度的數據文件,供PHP腳本使用。請告訴我什麼是最安全的方式和原因是:把它的文件夾中沒有下WWW根 .htaccess被拒絕vs out wwwroot
謝謝
- 非常多
A
回答
1
如果您有ftp/sftp/ssh訪問此服務器,沒有理由不將它放在www文檔根目錄之外。如果您的主機服務僅允許您訪問www文檔根目錄,則必須使用第二種解決方案,但第一種解決方案要安全得多。
如果您的網站上存在易受攻擊的腳本,可以繞過Htaccess。有些工具如果放置正確,會將文件放在文檔根目錄中,並由遠程攻擊者上傳甚至替換。例如,有php "remote file managers",它允許遠程攻擊者更改權限,編輯或替換現有文件,包括您的htaccess文件。如果您運行的是像Wordpress或其他CMS這樣的網站,它們本身並不完全超級安全,並且有很多第三方插件,這些插件可能容易受到攻擊,並且如果您碰巧使用了一個,你的htaccess文件的訪問限制可以被繞過。
當敏感信息位於文檔根目錄之外時,有權訪問文檔根目錄的攻擊者將無法訪問這些文件,並且腳本中的漏洞不太可能影響對這些文件的訪問。最有可能需要成爲系統級攻擊才能訪問文檔根外的文件。
相關問題
- 1. 訪問文件C:\ inetpub \ wwwroot被拒絕?
- 2. 權限被拒絕:.htaccess pcfg_openfile
- 3. Inetpub -acces被拒絕?
- 4. SoapFault - ystem.UnauthorizedAccessException:訪問路徑'C:\ inetpub \ wwwroot \ ErrorLogs \ ErrorLog20141017.txt'被拒絕
- 5. 訪問路徑'c:\ inetpub \ wwwroot \ myapp \ App_Data'被拒絕
- 6. 訪問路徑'C:\ inetpub \ wwwroot \ Website \ Uploaded-Images \ 5.jpg'被拒絕。
- 7. htaccess拒絕從* .ru或拒絕從.ru
- 8. .htaccess全部拒絕
- 9. htaccess拒絕到URL
- 10. 拒絕用的.htaccess
- 11. 拒絕用的.htaccess
- 12. ScanDir()訪問被拒絕
- 13. 訪問路徑被拒絕
- 14. machine.config'被拒絕
- 15. .out權限被拒絕使用-c指令與g ++
- 16. 訪問被拒絕Microsoft.AspNetCore.Server.WebListener
- 17. Promise.settle和還願VS拒絕
- 18. PHP權限被拒絕fopen
- 19. java.io.FileNotFoundException:(訪問被拒絕)
- 20. .htaccess文件拒絕加載
- 21. 使用.htaccess拒絕輸入
- 22. .htaccess拒絕目錄訪問
- 23. .htaccess從域名拒絕
- 24. Htaccess和重寫/拒絕
- 25. Htaccess拒絕訪問/text.php
- 26. 權限被拒絕,Laravel和獨白 -
- 27. 訪問被拒絕
- 28. 訪問被拒絕
- 29. 訪問被拒絕...?
- 30. Red5 NetConnection被拒絕
謝謝,正是我在想什麼,但請告訴我爲什麼一個原因,因爲它更安全。我需要說服託管服務。 – 2012-08-03 15:28:04
@ user1294101當然。我擴大了我的答案。 – 2012-08-03 15:37:45
感謝您的理解答案。但是如果攻擊者能夠訪問文檔根目錄,他可以通過PHP文件包含文檔根目錄,就像我要用我的php腳本一樣。這是正確的嗎? – 2012-08-03 16:04:25