以图明志

PHP服务器脚本

[专题] PHP安全编程:主机文件目录浏览

数据库信息数据保存
除了能在共享服务器上读取任意文件之外,攻击者还能建立一个可以浏览文件系统的脚本。由于你的大多数敏感文件不会保存在网站主目录下,此类脚本一般用于找到你的源文件的所在位置。攻击者可能会首先察看/etc/passwd文件或/home目录以取得该服务器上的用户名清单;可以通过语言的结构如include或require来发现保存在网站主目录以外的源文件所在位置。

PHP服务器脚本

[专题] PHP安全编程:更优的会话数据安全

更好地防范session暴露
当你关注于防止源码的暴露时,你的会话数据只同样存在着风险。在默认情况下,SESSION保存在/tmp目录下。这样做在很多情形下是很方便的,其中之一是所有用户都有对/tmp的写入权限,这样Apache同样也有权限进行写入。虽然其他用户不能直接从shell环境读取这些会话文件,但他们可以写一个简单的脚本来进行读取。

PHP服务器脚本

[专题] PHP安全编程:防止源代码的暴露

尽量不要将代码放在根目录下
关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况: 对包含文件使用.inc的扩展名,包含文件保存在网站主目录下等。上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。
1 / 1 首页 < Prev 1 Next > 尾页 页码: