Ich entwickle eine PHP-Anwendung, die auf Anfrage von mehreren Clients reagieren muss, und ich denke "Kann einer der Clients den PHP-Code sehen, den ich schreibe?".Kann ein Client serverseitigen PHP-Quellcode anzeigen?
Nein, es sei denn,
Nein. Es sei denn, Sie echo es ihnen unter, wo Sie es tatsächlich verwenden.
Wenn Sie Ihren Webserver ja statt analysieren Ihre PHP dienen gesetzt. Aber dann würden die Kunden nicht arbeiten. Also die Sperrung von Sicherheitslücken, Antwort ist nein.
Nein, aber Sie sollten alle Maßnahmen ergreifen, um dies zu verhindern.
Sie sollten immer Ihren sensiblen Code (heck, warum nicht alle?) In einem Verzeichnis unterhalb Ihres Servers Arbeitsverzeichnis (sagen/www), auf diese Weise, wenn der Server versaut wird, wird es nicht in der Lage, Ihren Code zu zeigen zur Welt, weil dieser Code von php eingeschlossen wird, der überhaupt nicht funktioniert.
Verwendung umfasst von unterhalb oder außerhalb des www served-Verzeichnisses. (kann noch nicht +1 .. für Frankie)
Verwenden Sie keine Symlinks für Ihre HTTP-Verzeichnisse. Ich habe absichtlich dies verwendet, um Source und execute je nach Benutzeranforderungspfad anzuzeigen, aber das erforderte httpd.conf Änderungen (oder Fehlkonfiguration) und kann explizit in httpd.conf deaktiviert werden.
Wenn Sie das Herunterladen von Dateien mit fopen zulassen, übergeben Sie nichts, was der Benutzer erstellt, oder sie könnten herausfinden, wie Sie es erhalten, um alle Dateien zu finden, die sie finden können. Bedenken Sie:
fopen('reports/' . $_GET['blah']);
, wo der Benutzer geht in '../index.php'
Nr Vorausgesetzt, dass Sie ein L/UAMP Server ordnungsgemäß installiert haben, oder drucken, nicht aus (Echo, print_r, usw.) und des Kerns Ihres Codes wird PHP verarbeitet und die Logik oder HTML, die es ausgeben soll, werden auf der Seite verwendet, nicht sichtbar.
N.B. Wenn in einem Verzeichnis oder einer geeigneten .htacess-Datei kein 'Index' vorhanden ist, zeigt ein Apache-Server eine Liste von Dateien im Verzeichnis an, die heruntergeladen und überprüft werden können.
Ja, aber selbst wenn Sie sie herunterladen, sehen Sie nur den HTML-Code, der generiert wird. Sie werden den PHP-Code nicht sehen. – galdikas
Ein Fehler, denn es ist zu geschehen einen PHP-Tag in einer PHP-Zeichenfolge einzufügen, Beispiel:
$string = "This is the answer: <s><?php echo $answer; ?></s>";
echo $string;
Die Person hat eine Strg + C und Strg + V von etwas, das entlang der Zeichenfolge gedruckt werden soll , aber der Programmierer hat vergessen, die PHP-Tags durch Ablenkung zu entfernen.
Können Sie ein Beispiel für schlechte Include oder Echo geben? – Mj1992