如果某些 .html 文件只能通过密码(以 PHP 实现)与数据库中的哈希码匹配来访问,则用户仍然可以猜测可能的 .html 文件名并查看所谓的特权页面。查看特权页面的源代码,用户可以看到在该 .html 中调用的 .php 的名称,这可能会导致猜测可能的 POST 参数。
减少对 .html 和 .php 文件类型名称进行此类猜测的最佳做法是什么。
.htaccess 文件已具有“选项 -indexes”以防止列出目录。
编辑:嗯,与其赞成这是一个糟糕的实现,为什么不赞成建议的答案之一或写一个新的答案。很明显,这是一个糟糕的实现,这就是发布这个问题的原因。
最佳答案
如果您仅将这些页面包含在其他页面中,请在 .htaccess 中拒绝对它们的访问
如果您希望它们可供访问,但仅限授权用户访问,请使用密码保护它或提供其他身份验证
防止人们猜测页面的名称是“通过默默无闻的安全性”,永远不应该依赖它。设置您的系统时假设所有内容都是可见的,并据此确定您的安全性
关于php - 防御 .html 和 .php 文件名猜测,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28901285/