php文件是在服务器端执行后发送html代码给到客户的浏览器显示,因此php文件是不需要浏览器下载的,那么如何防止客户下载服务器端的php文件呢?如果用apache进行限制,会造成php访问不正常吗?
我阅读了一些php建站的代码和MVC框架,发现里面与权限、数据库连接相关的数据库名、用户名、密码都是放在php或者inc文件中,那么我只要下载了php文件,通过代码阅读就可以找到数据库的密码了?这样不是有严重安全性问题吗?
写用户登录页面时,用户输入的用户名、密码是需要到数据库内验证的,但是验证本身是需要登录数据库的,这个时候数据库的用户名、密码不就暴露了吗?
通过修改apache的httpd.conf文件中的FileMatch中的内容,添加“|php”之后,通过下载工具确实无法下载php文件了,但是浏览器访问也报错403。
1. php文件会以脚本方式运行.不会被下载.
2. 除非主动 echo或print 输出 "数据库信息" 才可以看到.
3. 如果是*.inc文件,非可执行的.有可能被下载.
可以用此方法限制下载和读取,修改Apache\conf\httpd.conf文件,加入如下代码:
Order Deny,Allow
Deny from all
被过滤了....
