Ich habe Empfehlungen zum Speichern einiger oder aller PHP Include-Dateien an einem anderen Ort als im Stammverzeichnis des Web-Dokuments (Benutzername/public_html in meinem Fall) aus dem Grund des Schutzes von PHP-Dateien mit sensiblen gesehen Informationen (wie Datenbank-Verbindung und Login-Informationen) für den Fall, dass der Webserver schluckt und aufhört, PHP-Dateien zu schützen, und sie für Außenstehende "sichtbar" werden, die wissen, wo sie suchen müssen.Speichern von Skript-Dateien außerhalb Web-Root
Es scheint etwas paranoid zu mir, aber ich rate, dass Leute auf diesem vorher schlecht gebrannt haben, also bin ich bereit, mitzukommen. Der Vorschlag besteht normalerweise darin, die Include-Dateien in einer Datei wie "../include_files/" zu speichern, so dass sie nicht direkt in der Dokumentenwurzel und nicht direkt für Außenstehende über den Webserver zugänglich ist.
Meine Frage ist das: Gibt es einen signifikanten Unterschied in der Sicherheit zwischen diesem Weg und nur Ihre 'include_files' Verzeichnis unter dem Dokumentenstamm und kleben eine .htaccess-Datei dort (mit den entsprechenden Einträgen)? Würde eine .htaccess-Datei in '../include_files/' eine signifikante Verbesserung dort machen?
TIA,
Monte
+1 für den Hinweis auf die Leistungseinbußen von .htaccess (wenn Sie AllowOverride None angeben, sucht Apache nicht einmal nach der Datei). Vereinbaren Sie Ihre anderen Punkte mit Bezug auf die Dateien aus dem Dokumentenstamm zu halten; Es dauert ein paar Minuten (besonders mit einem __autoload/spl_autoload_register), also warum nicht? –
das Problem ist: Sie können das nicht in vielen/meisten Shared Hosting. Nein? – docesam
Meiner Erfahrung nach teilen freigegebene Hosts ein Verzeichnis mit einem www-Verzeichnis, das als öffentlich festgelegt ist. –