我有一个名为config.php的脚本。 此脚本中是包含 mysql 登录信息等的变量。 有些孩子一直说他可以访问我的网站,最近我们刚刚听说了泄漏,但不知道是否可以证实。 我知道你把出口;在 header(位置:.. 停止脚本执行之后;在这种情况下需要同样的事情吗? 如何利用这一点?
如果有人对您的服务器具有root访问权限,他只需打开文件并查看密码即可。此外,他可以重置mysql root密码,并获得对它的访问权限。
一些资源:
- https://serverfault.com/questions/218138/finding-how-a-hacked-server-was-hacked
- https://serverfault.com/questions/179876/hacked-by-black-jaguar
你应该在 header(location:... 之后添加exit;,这是正确的方法。
有人对您的服务器具有root访问权限,永远不会告诉您!在这种情况下,退出将无济于事...配置的变量.php将不会显示,因为该文件是由 PHP 解析的。您最好检查服务器日志,进程,外壳历史记录...
首先,您应该考虑将配置文件放在文档根文件夹之外。
其次,如果您的config.php没有产生任何输出,则使用浏览器访问它将显示一个空白页面。
破坏了您系统的人基本上可以做任何事情,无论您的脚本中有什么;-)