AllowOverride安全問題

Question

有各種各樣的職位，建議您如何添加.htaccess文件從URL中刪除index.php。但是，爲了使.htaccess文件起作用，必須更改AllowOverride（通常爲「All」）。

This tutorial解釋說，使用mod_rewrite的.htaccess文件是一種誤解，可以並且應該在主配置文件中完成。

我的網絡安全官已經通知我 - 我引用 - 「將AllowOverride更改爲全部會增加Web服務器的風險，因爲如果被入侵，入侵者/黑客/機會主義者可以覆蓋主服務器配置，這可能會讓他們陷入混戰;這將是一個嚴重的安全漏洞「。我不知道這有多重要！

所以我的問題是，

1. 是真的有嚴重的危險，以改變的AllowOverride
2. 如果是這樣，爲什麼的.htaccess被推薦用於堆棧溢出如此廣泛移除的index.php？

Answer 1

因爲要和.htaccess在這個意義上，如果一個黑客/入侵者取得你的文件系統保持那麼他們可以修改重寫規則，改變你的網站的行爲安全問題的一點。但是請記住，如果黑客獲取了DOCUMENT_ROOT文件夾，那麼通過修改/刪除任何其他代碼也可以實現更多的損害，並且您的手中有更大的問題。

但是什麼.htaccess爲您提供最大的是靈活性，讓您控制您的網站上的行爲，認證需要沒有必要在Apache的配置這些更改並重新啓動它每一次。特別是在共享主機環境中，Apache配置甚至無法訪問網站所有者。