我刚刚发现 Laravel 5 可能会输出敏感数据,并可能导致对许多主机的进一步利用:
https://www.google.com/search?q=intext%3ADB_PASSWORD+ext%3Aenv&gws_rd=ssl
我想知道如何保护我的 .env
文件。我可以在 .htaccess
文件中使用以下代码来保护我的 .env
文件不被浏览器查看吗?
# Protect .env
<Files .env>
Order Allow,Deny
Deny from all
</Files>
我在 .htaccess
中的上述代码可以工作并保护我的 .env
文件吗?
最佳答案
这不是一个漏洞,如果有人正确安装了 Laravel,这甚至不是一个远程问题 - webroot 是 public
文件夹,而不是存储库/项目根目录。
laravel 中的配置文件和.env
文件不包含在webroot 中,因此您只需要确保您的webroot 是path/to/project/public
。
您提供的 google 查询实际上只是一群在安装 Laravel 之前没有阅读文档的人。
关于php - 防止公开访问 env 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30928996/