システムで Xampp サーバーを使用しており、システムの Xampp サーバーで PHP.INI 設定を微調整することで、リモートでホストされているサイトから php ファイルを含めることができることを発見しました。リモートファイルの変数にアクセスできませんでしたが、プロのハッカーがそれらの変数にアクセスできるのではないかと心配しています。urlはファイルのパスが表示されるので怖いです。.htaccess を使用してファイルの拡張子を非表示にできることはわかっていますが、Web 開発者が主に使用するサーバー側スクリプトの種類はごくわずかしかないため、これらのファイルの種類は誰でも推測できます。私のサーバーファイルをリモートサーバーまたは私のサイトが存在するのと同じサーバー上で実行されているサーバーに含めることを防ぐ方法があるかどうか、または心配する必要がないかどうか教えてください.
2 に答える
1
allow_url_include = On
このオプションが行うことは、次のようなコードを記述できるようにすることです。
include 'http://example.com/foo.php';
他の人があなたのサーバーにあるファイルを含めることを許可しません。
あなたの恐れはまったく根拠がありません。
サーバー上の .php ファイルは、誰かが URL を介してアクセスすると、常に Apache によって実行されます。誰もあなたのソースコードを見ることはできません。(Apache が壊れていないか、重大な設定ミスがないことを前提としています。)
PS:allow_url_includeとにかくオフにする必要があります。それは悪い考えです。
于 2012-09-06T08:01:10.737 に答える
1
php.ini無効なURLに次のように含めます
allow_url_include = Off
于 2012-09-06T07:09:31.143 に答える