在我的根文件夹中有一个config.php。 用户可以访问domain.com/config.php然而,该文件不会回显/打印任何configuration。 我仍然需要否认某些.htaccess规则,还是安全呢?
特别是它是一个WordPress的应用程序,我只是意识到,我可以打开wp-config.php
由于某种原因(临时configuration错误,升级…),这不会是第一次使用PHP处理程序失败的Web服务器。 如果有任何风险,页面甚至可能以纯文本forms加载,而不是作为脚本处理,那么最终将显示您的密码。
比任何.htaccess限制更安全的是将configuration文件保存在文档根目录之外(例如在~/conf/而不是~/public_html/ )。 如果您a)在其原始位置include()文件,并且b)即使Web服务器没有访问这两个文件,CMS或其他应用程序也不会识别任何区别。