关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况： 

• 对包含文件使用.inc的扩展名
• 包含文件保存在网站主目录下
• Apache未设定.inc文件的类型
• Apache的默认文件类型是text/plain 

上面情况造成了可以通过URL直接访问包含文件。更糟的是，它们会被作为普通文本处理而不会被PHP所解析，这样你的源代码就会显示在用户的浏览器上。 

避免这种情况很容易。只能重组你的应用，把所有的包含文件放在网站主目录之外就可以了，最好的方法是只把需要公开发布的文件放置在网站主目录下。

虽然这听起来有些疯狂，很多情形下能导致源码的暴露。我曾经看到过Apache的配置文件被误写（并且在下次启动前未发现），没有经验的系统管理员升级了Apache但忘了加入PHP支持，还有一大堆情形能导致源码暴露。

通过在网站主目录外保存尽可能多的PHP代码，你可以防止源代码的暴露。至少，把所有的包含文件保存在网站主目录外是一个最好的办法。

一些方法能限制源码暴露的可能性但不能从根本上解决这个问题。这些方法包括在Apache中配置.inc文件与PHP文件一样处理，包含文件使用.php后缀，配置Apache不能接受对.inc文件的直接请求：

<Files ~ "\.inc$">
    Order allow,deny
    Deny from all
</Files>

虽然这些方法有其优点，但没有一个方法在安全性上能与把包含文件放在网站主目录之外的做法相比。不要依赖于上面的方法对你的应用进行保护，至多把它们当做深度防范来对待。

延伸阅读

此文章所在专题列表如下：

1. PHP安全编程：register_globals的安全性
2. PHP安全编程：不要让不相关的人看到报错信息
3. PHP安全编程：网站安全设计的一些原则
4. PHP安全编程：可用性与数据跟踪
5. PHP安全编程：过滤用户输入
6. PHP安全编程：对输出要进行转义
7. PHP安全编程：表单与数据安全
8. PHP安全编程：从URL的语义进行攻击
9. PHP安全编程：文件上传攻击的防御
10. PHP安全编程：跨站脚本攻击的防御
11. PHP安全编程：跨站请求伪造CSRF的防御
12. PHP安全编程：关于表单欺骗提交
13. PHP安全编程：HTTP请求欺骗
14. PHP安全编程：不要暴露数据库访问权限
15. PHP安全编程：防止SQL注入
16. PHP安全编程：cookie暴露导致session被劫持
17. PHP安全编程：session固定获取合法会话
18. PHP安全编程：session劫持的防御
19. PHP安全编程：防止源代码的暴露
20. PHP安全编程：留心后门URL
21. PHP安全编程：阻止文件名被操纵
22. PHP安全编程：文件包含的代码注入攻击
23. PHP安全编程：文件目录猜测漏洞
24. PHP安全编程：打开远程文件的风险
25. PHP安全编程：shell命令注入
26. PHP安全编程：暴力破解攻击
27. PHP安全编程：密码嗅探与重播攻击
28. PHP安全编程：记住登录状态的安全做法
29. PHP安全编程：共享主机的源码安全
30. PHP安全编程：更优的会话数据安全
31. PHP安全编程：会话数据注入
32. PHP安全编程：主机文件目录浏览
33. PHP安全编程：PHP的安全模式

本文地址：http://www.nowamagic.net/librarys/veda/detail/2042，欢迎访问原出处。