正在下載php文件？

Question

是否可以從服務器所在的服務器下載php文件？ 我是Web領域的初學者，我擔心黑客可能會使用特殊工具下載，查看我的代碼並了解我在哪里編程了易受攻擊的代碼來入侵我的網站。

Answer 1

如果服務器配置正確，並且代碼中沒有安全漏洞，則不可能，這是不可能的。

如果你有類似的東西

echo file_get_contents($_GET['myFile']);

那么這可以用來獲取您的代碼-永遠不要這樣做！

Answer 2

在9/10情況下，惡意分子下載php源代碼的方式是將備份文件保存在webroot中，例如foo.php.bak或foo.php.old或.backup。 這些默認情況下作為純文件提供，因此除上述建議外，請注意此問題。

Answer 3

無法將源代碼直接下載到通過Apache處理的php文件中，除非您的Web服務器由於任何原因突然中斷並停止通過php解釋器提供php文件（如果您搞砸了設置並破壞了它。 ）

一個非常熟練的破解者也許可以滲透到您的Web服務器，並輕松下載其中的任何內容，但是這樣做的機會非常低。 如果您不是一家大公司，那么誰願意花時間真正地入侵您呢？

要做的另一點是，每當您處理用戶輸入時，請務必進行清理，否則您將容易受到常見的XSS攻擊（轉義字符串，不要依賴PHP_SELF，還可以進行許多其他清理）。

Answer 4

網絡服務器的配置確定了是否應將文件解析為php解析器。 這通常是基於文件擴展名的。 因此，以.php結尾的文件將被解析，對於php源，您將使用.phps。 因此，無法在網絡服務器上生成動態內容的.php文件作為源下載。

Answer 5

黑客不需要您的源代碼即可侵入您的網站。 實際上，OWASP Top 10上的大多數漏洞不需要利用源代碼即可： http : //www.owasp.org/index.php/Top_10_2007

諸如Acunetix（ http://www.acunetix.com ）或開放源代碼項目Wapiti（ http://wapiti.sourceforge.net ）之類的“黑匣子”漏洞掃描程序可以輕松發現SQL Injection，XSS和Source Code Disclosure漏洞。 它是一個很棒的工具。