gpt4 book ai didi

php - 保护 PHP 文件

转载 作者:搜寻专家 更新时间:2023-10-31 20:56:23 25 4
gpt4 key购买 nike

您好,感谢大家阅读我的问题。

我已经在 PHP Web 程序上工作了一段时间,想知道在将源代码放到实时服务器上之前我应该​​采取什么措施来保护源代码。源代码没有分发,而是通过网站访问(用户登录网站使用它)。

首先,我想保护源 php 文件不被找到和下载。我没有使用任何框架,只是 php,所有文件都在主目录中作为 index.php。我四处阅读,似乎 robots.txt 并不是真正有效的隐藏。我看到一些人推荐 .htaccess 的帖子,但我经常认为这是用密码保护目录中的文件,所以不确定是否有办法让它 htaccess 适合网络应用程序。

其次,我想保护源文件以防有人访问它们(找到它们并下载它们或系统管理员可以访问服务器)。我想到了用 ioncube 之类的东西进行源加密。我的主机也有 GnuPG [我不熟悉,与 ioncube 相比有什么想法吗?]

我不熟悉源代码保护,所以任何想法都很好,当然非常感谢:)

最佳答案

只需确保您的 Web 服务器设置为正确处理 .php 文件,并且所有文件都具有正确的 .php 扩展名(不是 .php .inc 或类似的)

只要您的服务器执行 PHP,就没有人可以下载其源代码(忽略您代码中的任何安全漏洞,这是一个不同的话题)

曾经有一段时间,按照 mystuff.php.inc 的方式命名包含的文件很常见 - 这是一个坏主意。假设您的站点位于“example.com”,并且您将数据库配置存储在 config.php.inc 中 - 如果有人猜到了这个 URL,他们可以请求 http://example.com/config.php.inc并以纯文本形式获取您的数据库登录名..

最好将配置和其他库存储在一个目录中,如 bisko answered - 所以你有一个像这样的目录结构..

/var/example.com:
include/
config.php
helper_blah.php
webroot/
index.php
view.php

这样,即使你的 web 服务器配置搞砸了,并开始以纯文本形式提供 .php 文件,它也会很糟糕,但至少你不会公布你的数据库细节对世界..

至于加密文件,我认为这不是一个好主意。这些文件必须未加密,以便 Apache(或您使用的任何服务器)可以访问它们。如果 Apache 可以访问它,您的系统管理员也可以..

我不认为加密是对付不可信系统管理员的解决方案..

关于php - 保护 PHP 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1401727/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com