我对 Magento 知之甚少,也没有自己构建相关网站,但我发现客户网站的 local.xml 文件可公开访问 - http://domain.com/app/etc/local.xml其中包含用户名和密码。 我认为该文件不应公开访问,但 Magento 不会自动阻止访问(通过发送 403 header )吗? 这对安全有何影响?
最佳答案
世界将拥有您的数据库连接信息,而且加密 key 就在那里,因此他们可以破解您客户的所有安全信息。
Magento 阻止应用程序通过该目录中的 .htaccess 访问 etc。
Order deny,allow
Deny from all
关于security - 如果 Magento 中的 local.xml 是可公开访问的,会有哪些安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10998697/