我在我的系統上使用Xampp服務器,並通過在我的系統的Xampp服務器上纏繞一些PHP.INI設置,發現我可以從遠程託管的站點包含我的php文件。儘管我無法訪問遠程文件中的變量,但我仍然害怕專業黑客可以訪問這些變量。我很害怕,因爲url顯示文件的路徑。我知道我可以使用.htaccess隱藏文件的擴展名,但任何人都可以猜到這些文件類型,因爲只有少數類型的服務器端腳本被webdeveloper使用。請讓我知道是否有任何方法可以防止在遠程服務器上包含我的服務器文件,或者在我的網站所在的服務器上運行的服務器上,或者無需擔心。如何防止包含遠程服務器文件或共享服務器文件?
在php.ini停用網址包括這樣
allow_url_include = Off
是的,但是這已經在我的遠程服務器上關閉了,我只是在我的系統上打開它以訪問遠程文件。 –
如果在本地計算機上關閉它,則不會妨礙遠程服務器文件。所有易受攻擊的地方都是你的本地機器,所以不用擔心。 – WatsMyName
謝謝薩賓確認這一點。 –
allow_url_include = On
做什麼this option是讓你寫這樣的代碼:
include 'http://example.com/foo.php';
它確實不是允許其他人包含服務器上的文件。
你的恐懼是毫無根據的。
上的任何.php文件,當有人通過URL訪問時,您的服務器將始終由Apache執行。沒有人能看到你的源代碼。 (假設Apache沒有損壞或嚴重錯誤配置)。
PS:allow_url_include無論如何應該被關閉。這是一個壞主意。
簡單地說,不要這樣做。那麼沒有什麼可擔心的。將ini設置恢復爲默認設置,並忘記它們在那裏。 – Leigh