php - 防止公开访问 env 文件

标签 php security laravel laravel-5

我刚刚发现 Laravel 5 可能会输出敏感数据,并可能导致对许多主机的进一步利用:

https://www.google.com/search?q=intext%3ADB_PASSWORD+ext%3Aenv&gws_rd=ssl

我想知道如何保护我的 .env 文件。我可以在 .htaccess 文件中使用以下代码来保护我的 .env 文件不被浏览器查看吗?

# Protect .env
<Files .env>
Order Allow,Deny
Deny from all
</Files>

我在 .htaccess 中的上述代码可以工作并保护我的 .env 文件吗?

最佳答案

这不是一个漏洞,如果有人正确安装了 Laravel,这甚至不是一个远程问题 - webroot 是 public 文件夹,而不是存储库/项目根目录。

laravel 中的配置文件和.env 文件不包含在webroot 中,因此您只需要确保您的webroot 是path/to/project/public

您提供的 google 查询实际上只是一群在安装 Laravel 之前没有阅读文档的人。

关于php - 防止公开访问 env 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30928996/

上一篇:php - 这个switch语句不是废话吗?

下一篇:PHPUnit 调用未定义的方法 `Mock_x_::method()`

相关文章:

php - 不支持写入 DatePeriod 属性?

android - Android 手机上安装的第 3 方应用程序是否有任何方法可以破解 Android 手机和 Android Wear watch 之间的数据?

php - Laravel在表单提交之前显示错误消息

php - 使用 Dropdown Laravel 中的变量填充表格

java - "Security settings have blocked a self-signed application from running"作为开发者

php - Laravel MySQL 数据库设置错误

php - 删除换行符之后或之前的三个点

java - 表单提交图片需要点击2次才能执行

php - 在 PHP 中过滤所有类型的空格

database - 在哪里可以找到用于密码验证的词典?

©2024 IT工具网  联系我们