爲了保護php文件的敏感性,我已經看到了一些建議,將一些或所有的php包含文件存儲在web文檔根目錄(username/public_html)信息(如數據庫連接和登錄信息),如果Web服務器打嗝並停止保護php文件,並且他們對知道去哪兒看的外部人員變得「可見」。在web根目錄以外存儲腳本文件
對我來說,這似乎有點偏執,但我猜測人們之前已經燒得不好,所以我願意繼續。該建議通常採用包含文件的形式,如'../include_files/',因此它不直接位於文檔根目錄中,並且不能通過Web服務器直接訪問外部人員。
我的問題是:這種方式之間的安全性存在顯着差異,只需將'include_files'目錄放在文檔根目錄下並在其中粘貼.htaccess文件(使用適當的條目)?將..htaccess文件放在'../include_files/'中會有什麼重大改進那裏?
TIA,
蒙
+1用於指出.htaccess的性能下降(另外,如果指定AllowOverride None,Apache甚至不會查找該文件)。同意你的其他要點,以保持文件不在文檔根目錄下;需要花費幾分鐘時間(尤其是使用__autoload/spl_autoload_register),那麼爲什麼不這樣做呢? – 2010-06-14 02:05:32
問題是:你不能在許多/大多數共享主機中做到這一點。沒有? – docesam 2016-08-21 21:43:09
根據我的經驗,共享主機會爲您提供一個目錄,其中包含一個設置爲公開的www目錄。 – 2016-08-23 19:54:18