许多人在他们的托管服务器上制作他们的网站backup.zip
zip文件位于Index.php所在的同一目录中。
因此,如果我使用此链接,我的备份将下载http://www.example.com/backup.zip
如果我不共享我的备份文件名/链接,它对黑客或机器人安全吗?
有什么函数可以给我所有的文件和目录名吗?
如何在托管服务器上保护backup.zip文件?
我在这里发布这个问题是因为我认为开发人员最了解黑客/机器人攻击/获取目录/从另一台服务器获取文件
有很多方法可以保护您的文件不受互联网的影响。
最简单的方法是将一个index.html、index.html或index.php文件放入包含您的backup.zip的目录中,但如果有人猜到他的名字并从他的URL中调用该文件,则仍然可以加入该文件:www.example.com/backup.zip
为了避免这个问题:大多数Web服务器都提供了一种保护文件的方法。如果我们假设你在Apache2下,你必须在.htaccess文件(位于你文件的同一目录中)中创建一个规则,以防止人们访问你的backup.zip。
例如:
<Files backup.zip>
Order allow,deny
Deny from all
</Files>
如果你不在Apache2下,你可以通过查看HTTP服务器的文档来找到答案。
您的文件并不安全,因为/backup.zip
是黑客可以猜测的最明显的路径。
因此,为了保护zip文件免受未经授权的访问,请将其移动到单独的文件夹中,并创建具有以下内容的.htaccess
:
Deny from all
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
为了实现这一点,Apache需要为该文件夹使用选项AllowOverride All
的mod_rewrite,以允许运行.htaccess
文件(通常是默认配置的)。