- 存储在服务器中的 PHP 脚本(包括 PHP 脚本中的公共方法(是否有可能从客户端浏览器(包括但不限于浏览器中的控制台模式(可见、可访问或修改?如果是,黑客是否能够注入任何代码或修改PHP脚本?
- 黑客是否有可能将参数传递到 PHP 类方法(无论是公共/私有/受保护/未指定可见性(并查看该方法中存在哪些代码,或者查看 PHP 脚本中存在哪些其他代码?
- 最好将 PHP 文件存储在其他地方而不是/www 或/htdocs 目录中吗?
如果上述任何一种情况属实,可以采取哪些补救措施?
-
PHP 是一种服务器端语言,这意味着它运行的任何内容都将在您的服务器上运行和呈现,唯一被发送回客户端的是你给它的响应。这意味着 PHP 代码在 Web 浏览器中不可见,也无法通过控制台访问。
-
只有当您设计代码以便通过方法运行 URL 查询参数或表单数据时,任何人都可以将参数传递到 PHP 方法中。即使这样,他们也无法看到实际的代码,除非您有目的地返回代码,您可以立即注意到。作为预防措施,过滤和转义任何用户输入始终是一个好主意,以避免SQL注入和其他类型的恶意输入。
-
我确定这取决于个人意见,但是,您可以在合理的任何地方存储PHP文件。您应该将可公开访问的 php 文件存储在 htdocs 或 www 文件夹中,因为人们需要访问这些文件,但您始终可以选择在 htdocs 目录之外使用
require_once或require或include等,方法是在 htdocs 目录之外添加前缀../:示例require_once("../my_file.php");(此文件不可公开访问,但当您运行请求它的可公开访问的 PHP 页面时将包含在内, 当您想要包含函数文件等时,这很有用(
编辑:正如GetSet提到的,是的,服务器配置错误等可以允许某人以纯文本形式查看代码。此外,为您的FTP和SSH保留默认用户名/密码也将是进入服务器的后门,供某人查看您的代码。只需确保您的服务器配置正确并遵循强大的安全标准即可。