適切なアプリのindex.phpファイルで呼び出されるのはrequire_onceブートストラップファイルだけのように思われるので、私は尋ねます。これによりセキュリティの層が追加されると思いますが、そうでない場合、このパターンは無意味に思えます。index.phpファイルをブートストラップとして使用しないのはなぜですか?ご意見・ご注意・ご感想等ございました!
(ちなみに、私のhtaccessファイルはすべてのリクエストをindex.phpファイルにルーティングしています...)
3 に答える
6
ブートストラポイングプロセスがインデックスファイルにあるか、別のプロセスにあるかに関係なく、固有のセキュリティの違いはありません。
別のファイルがあるのは、通常、組織の懸念によるものです(たとえば、アプリの機能をインポートしたり、すべてのタスクを適切な名前のファイルに入れたり、カスタム拡張機能を簡単に追加したりするために、他の場所からファイルを含めることができます。ブートプロセス)。
ただし、機密情報を含む構成ファイル(まれに、インデックスファイルを除くすべてのPHPファイルでさえ)は、可能な場合はWebルートの外部に配置されます。これにより、サーバーの設定を誤って行った場合にPHPファイルに外部からアクセスできないというセキュリティ上の違いが生じます。
于 2010-08-25T23:15:11.147 に答える
4
安全な環境では、index.phpのみがドキュメントルートにあり、他のすべてのPHPファイルはドキュメントルートの外部にある必要があるため、index.phpファイルにドキュメントルートの外部のブートストラップファイルのみが含まれている場合は意味があります。
于 2010-08-25T23:15:21.080 に答える
1
これが露呈する脆弱性を私は知りません。空白のindex.htmlまたはindex.phpをフォルダーにドロップすると、Apacheが正しく構成されていない場合に、攻撃者がディレクトリリストを取得するのを防ぐことができます。
于 2010-08-25T23:14:33.630 に答える