我很好奇 PHP 在嵌入了 PHP 代码的 HTML 网页(在服务器上作为“webpage.php”存在的网页)或可能被 HTML 页面引用的 PHP 脚本上的安全性(也就是说,一个 PHP 脚本实际上不是网页的一部分,它作为“something.php”存在于服务器上并被“webpage.html”引用)。言归正传,让我们说,如果任何人都知道我的 PHP 脚本的源代码,那将是一个非常大的问题。我知道当您在浏览器中查看 PHP 页面的源代码时,不会显示 PHP 脚本,但是如果 PHP 服务器出现故障并且 HTML 仍然加载(甚至可能),用户是否能够看到 PHP脚本? 更一般地说,是否有任何可能的方式让用户可以从 Web 浏览器访问 PHP 脚本的源代码?如果可以,我该如何阻止它?
最佳答案
what if the PHP server failed and the HTML still loaded (is this even possible), would a user be able to see the PHP script?
撇开安全漏洞不谈,这通常发生在有人破坏服务器或跨服务器迁移站点时,PHP 文件已转储到未设置为执行 PHP 的文件夹中。这是您为 PHP 部署付出的代价,就像将文件放入文件夹一样简单。
虽然泄露 PHP 源代码从来都不是理想的情况,但您可以通过将所有敏感的部署信息(如数据库密码)放在位于 Web 根目录(映射到 /的文件夹)之外的 PHP 包含文件中来缓解这种情况 URL,通常称为 htdocs)。搞砸配置以泄漏它要困难得多。
(对于更大、更模块化的项目,您通常会在 include 中完成大部分处理工作。)
关于php - PHP脚本的安全性,嵌入式或其他,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2679061/