PHP安全编程:防止源代码的暴露

最新推荐文章于 2022-12-13 19:08:08 发布
最新推荐文章于 2022-12-13 19:08:08 发布
阅读量618 收藏
点赞数
分类专栏: php安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/come_on_air/article/details/73321478
版权
关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况: 

对包含文件使用.inc的扩展名

包含文件保存在网站主目录下

Apache未设定.inc文件的类型

Apache的默认文件类型是text/plain 

上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。 

避免这种情况很容易。只能重组你的应用,把所有的包含文件放在网站主目录之外就可以了,最好的方法是只把需要公开发布的文件放置在网站主目录下。

虽然这听起来有些疯狂,很多情形下能导致源码的暴露。我曾经看到过Apache的配置文件被误写(并且在下次启动前未发现),没有经验的系统管理员升级了Apache但忘了加入PHP支持,还有一大堆情形能导致源码暴露。

通过在网站主目录外保存尽可能多的PHP代码,你可以防止源代码的暴露。至少,把所有的包含文件保存在网站主目录外是一个最好的办法。

一些方法能限制源码暴露的可能性但不能从根本上解决这个问题。这些方法包括在Apache中配置.inc文件与PHP文件一样处理,包含文件使用.php后缀,配置Apache不能接受对.inc文件的直接请求: 

<Files ~ "\.inc$">
    Order allow,deny
    Deny from all
</Files>


虽然这些方法有其优点,但没有一个方法在安全性上能与把包含文件放在网站主目录之外的做法相比。不要依赖于上面的方法对你的应用进行保护,至多把它们当做深度防范来对待。
come_on_air
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中的代码安全和SQL Injection防范
08-06
PHP安全方面的,以前从网上弄下来的。
PHP 编程安全性小结
12-17
在构建Web应用程序时,PHP编程安全性至关重要。本文总结了四个关键原则,旨在帮助开发者创建更安全PHP应用。 **规则 1:绝不要信任外部数据或输入** 这是Web安全的基础,任何来源于用户或其他非程序员控制的...
PHP安全编程防止源代码暴露(转)
weixin_34128501的博客
07-29 698
关于包含的一个重要问题是源代码暴露。产生这个问题主要原因是下面的常见情况:  对包含文件使用.inc的扩展名 包含文件保存在网站主目录下 Apache未设定.inc文件的类型 Apache的默认文件类型是text/plain  上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。  避免...
[转]PHP安全防止你的源代码或重要配置信息暴露在外
liNewman的博客
01-07 295
[转]PHP安全防止你的源代码或重要配置信息暴露在外 发现现在的项目是把所有的包含文件放在主目录下面,如下图: 网站目录为public,除了入口文件,所有的源码及配置文件,都在网站目录外。 刚开始没有意识到为什么这么做,后来想了想,真的很有必要,否则很容易就吧源代码和一些重要信息暴露在外了: (1)比如说.inc扩展名的配置文件,和...
php防源码泄漏,PHP源码防泄漏方法
weixin_32067105的博客
04-11 738
四条预防PHP源代码泄漏的方法:1)使用mod_security过滤输出严防泄漏 Use mod_security to filter output and prevent leakage (例如)PHP代码SecFilterOutput OnSecFilterSelective OUTPUT “...
php如何不暴露接口,php函数API接口的一段代码,不为什么就是想放在这里
weixin_28917137的博客
03-12 179
public function getRealTime(){global $db, $res;dbc();@$p = $_GET['page'] == "" ? 1 : $_GET['page'];//获取用户选择的页码@$pagesize = $_GET['limit'] == "" ? 10 : $_GET['limit'];//获取用户选择的每页显示多少条数据@$keys = $_GET['...
PHP代码审计入门笔记.zip
07-14
代码审计,又称为源代码审查或静态分析,是一种在程序执行之前检查其源代码的过程,旨在发现潜在的错误、漏洞或不良编程实践。在PHP中,代码审计有助于预防安全问题,如SQL注入、跨站脚本(XSS)、命令注入等,并...
iterators:我的迭代器书中的源代码
05-31
迭代器的概念源自面向对象编程,它定义了一个接口,使得对象能够被遍历,而无需暴露其内部结构。在"iterators:我的迭代器书中的源代码"这个项目中,作者提供了关于迭代器实现和使用的实例。 在PHP中,迭代器主要...
bluecms源码 初级代码审计
07-31
通过分析这款开源系统的源代码,初学者可以学习如何识别潜在的安全漏洞、理解PHP编程语言的常见陷阱以及如何提升软件的安全性。 【标签】:“代码审计”是指对软件源代码进行深度检查,查找并修复可能导致安全问题...
【计算机专业PHP-毕业设计60套之】PHP+SQL考勤系统安全性实现(源代码+论文+答辩PPT+指导书)
最新发布
03-29
这个压缩包包含了源代码、论文、答辩PPT和指导书,覆盖了从理论到实践的全貌。 1. **PHP安全编程**:PHP作为流行的服务器端脚本语言,其安全性直接影响到整个应用。开发者需要关注输入验证、输出编码、防止SQL注入...
三种方法实现php源代码加密
08-26
如何通过PHP的自定义函数来加密我们的PHP源代码呢?下面分享三个方法给大家,该方法可以对文本的内容进行 二进制加密 与 解密。
php源码打包脚本,php在线打包程序源码
weixin_39611725的博客
04-11 465
实现打包功能~轻松方便!压缩比虽比winrar差那么一点但是也没啥关系毕竟只打包做下载省下了自己去服务器上把站点打包如果服务器不是自己的就更麻烦了要让别人帮忙打下包复制代码代码如下://php压缩目录成zip包//作者:小锋$button=$_POST['button'];if($button=="开始打包"){$zip=newZipArchive();$filename="./".date("Y...
php通防,php通过session防url攻击方法
weixin_39993322的博客
04-13 175
php通过session防url攻击方法发布于 2015-11-19 18:54:39 | 92 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为...
打成jar包会泄露源代码吗_从jar包中读取资源文件
weixin_31091067的博客
01-21 1298
最近做的一些导出项目,需要使用图片资源,字体资源,证书,其它文件等;由于编译为jar并部署的,通常需要读取jar中的资源; 本文只要记录读取资源并通过jar方式运行和在开发IDE中运行的一致性。常规使用常规使用 - 绝对路径publicclassResource{publicvoidgetResource()throwsIOException{...
软件测试面试必看,资深测试工程师面试题集锦 全网首发
分享测试知识
12-13 1483
在性能测试过程中,需要模拟大量用户在同一时刻,访问系统并同时操作某一任务,可以通过配置集合点来实现,多个用户同时进行某操作;集合点可以在服务器上创建密集的用户负载,使LoadRunner能够测试服务器在负载状态下的性能。设置集合点函数:lr_rendezvous("Meeting");// Meeting是集合点名称场景用来模拟用户实际业务操作。Loadrunner 中场景有手工场景和面向目标的场景。设置场景:选择场景类型、设置运行时设置、模拟用户数、加减压方式、持续时间、配置负载生成。
php源代码被公开漏洞,关于简单的php源代码泄露漏洞的发掘
weixin_32096149的博客
03-09 937
我们知道在asp中出现得最多的还是sql注入,不过在php中由于magic_quotes_gpc为on的情况下特殊字符会被转义,所以即使有很多时候存在sql注入也无法利用。但是php强大的文件操作功能却使我们能体会到在asp中无法体会的乐趣,我想php自带的文件操作函数能让你为之心跳加快~~嘿嘿这次我发掘的是phpcms2007的源代码泄露漏洞再次向Phpcms2007的开源行为致敬!!开始吧,f...
php防止源代码,PHP安全编程防止源代码暴露
weixin_26735445的博客
03-09 467
关于包含的一个重要问题是源代码暴露。产生这个问题主要原因是下面的常见情况:对包含文件使用.inc的扩展名包含文件保存在网站主目录下Apache未设定.inc文件的类型Apache的默认文件类型是text/plain上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。避免这种情况很容易。只能重组你的应用,把所...
PHP安全编程防止SQL注入与XSS攻击策略
"该PDF文件主要探讨了PHP编程中常见的安全漏洞,包括SQL注入、跨站脚本(分为反射式和存储式)以及跨站请求伪造和命令行注入。文件着重于如何识别这些漏洞并提供了相应的防御策略。" 在PHP编程中,安全问题是一个至...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值