5
設想以下PHP文件:是否可以查看未回顯的PHP內容?
<?php
$topSecret = "Something important";
?>
如果我把這個運行標準的LAMP設置一臺服務器,怎麼會有人可以找出$topSecret上?
如果變量未被回顯,是否易受攻擊?這樣的真正應用可能是存儲在服務器的Web根目錄中的數據庫憑證。
A
回答
13
如果PHP失敗了,那麼該頁面將顯示爲一個plaint文本文件。那已經發生過;它曾經發生過Facebook。爲了防止這種情況發生,您應該將所有敏感變量(密碼等)存儲在不在web根目錄下的php文件中。您可以將其存儲在父文件夾中(如果您有權訪問它)或保存在由Apache(deny all)保護的子文件夾中。
6
在正常情況下,將無法查看。
但是配置錯誤或者代碼中的漏洞利用可能使得查看文件的內容成爲可能。
通常情況下,人們會將這些信息放在webroot之外,以減少發生這種情況的可能性。
相關問題
- 1. 是否可以查看Android的後端堆棧的內容?
- 2. 是否可以查看衛星組件的內容?
- 3. 是否可以使用MFMessageComposeViewController查看發送SMS的內容?
- 4. 如何檢查在php中是否回顯了某些內容?
- 5. 是否可以在html圖像中顯示一些php內容?
- 6. 是否有概覽以查看哪個UriComponents返回Uri的內容?
- 7. 是否可以查看HttpClient的org.apache.http.conn.EofSensorInputStream?
- 8. 如何查看NSFetchedResultsController是否不返回任何內容?
- 9. 是否可以在C++中查看命名空間的所有內容?
- 10. 在查看數據框的內容時是否可以截斷輸出?
- 11. 是否可以查看應用程序包(.app文件)的內容
- 12. MVC查看可選內容
- 13. 是否可以查看圖形卡內存中的數據?
- 14. PHP內容未顯示
- 15. 有沒有辦法檢查用戶是否可以看到WebView內容?
- 16. 是否可以查看文檔?
- 17. 斷點是否可以顯示「const unsigned char * variable」的內容?
- 18. 是否可以在extjs面板中顯示div的內容?
- 19. 是否可以在JavaScript中顯示[object FileList]的內容?
- 20. 是否可以在TextView中顯示覆雜的HTML內容?
- 21. 是否可以收縮包裝內容?
- 22. 是否可以檢查包含色情內容的圖像?
- 23. 可以以某種方式查看AMQ主題的內容嗎?
- 24. 是否可以使用php來查看活動會話?
- 25. 查看內容
- 26. 查看顯示尚未導入的內容
- 27. 是否可以通過查看HTTP流量來查看是否使用了AJAX?
- 28. 內容查看未創建錯誤
- 29. 如何查看我的視圖是否可以看到?
- 30. 的UITableViewCell的內容查看的內容不可見使用UISearchDisplayController
今天是PHP安全日嗎? :) 15分鐘前提出了一個非常類似的問題http://stackoverflow.com/questions/2287903/safest-place-to-store-php-values-for-msql-connect/2287909#2287909而我即將也以同樣的方式問一個人。啊,SO和它的100000用戶... – 2010-02-18 11:15:44
是的,那個問題促使我問這個問題。認爲最好是創建一個新問題,而不是在評論主題中提問。 – 2010-02-18 11:16:50