如何防止 php 文件像通过浏览器一样被“非法”下载。还有哪些方法可以用来下载 php 文件?
【问题讨论】:
如果您的应用程序不安全,您将无法真正避免文件被下载。以下示例允许恶意用户查看您服务器上的任何文件:
<?php
readfile($_GET['file']);
?>
如果您想防止 Apache 在 PHP 出现问题时暴露源代码,请将其添加到您的 httpd.conf / .htaccess 中:
# In case there is no PHP, deny access to php files (for safety)
<IfModule !php5_module>
<FilesMatch "\.(php|phtml)$">
Order allow,deny
Deny from all
</FilesMatch>
</IfModule>
# the following should be added if you want to parse .php and .phtml file as PHP
# .phps will add syntax highlighting to the file when requesting it with a browser
<IfModule php5_module>
AddType text/html .php .phtml .phps
AddHandler application/x-httpd-php .php .phtml
AddHandler application/x-httpd-php-source .phps
</IfModule>
【讨论】:
在正常情况下,没有人能够下载 PHP 源代码,因为它是在服务器上执行的。网络服务器识别 PHP 脚本并将它们传递给 PHP。然后将结果传递回请求用户的浏览器。你描述的情况,只有在webserver配置真的搞砸的情况下才能实现。
【讨论】:
<?php
header('Content-disposition: attachment; filename=http://www.victim.com/phpfile.php');
header('Content-type: application/pdf');
readfile('http://www.victim.com/phpfile.php');
?>
【讨论】:
在正常情况下,没有人能够下载PHP源代码(与其他答案相同),但是如果您有一个扩展名不同的文件示例:page1.bak并且您有一个page1.php,则page.bak如果您只是输入 url ht..//.../page1
就会被下载我已经用 PHP 版本 5.3.10-1ubuntu3.2 和 Apache/2.2.22 确认了这一点 总之,避免将您的配置或测试文件放在生产目录中,除非您希望它们以原始状态下载。
还应在 apache2.conf 或 httpd.conf 中禁用 Option Multiview 以避免默认返回“近似”文件名。
【讨论】:
您永远不会从运行 php 的 Web 服务器下载 php 文件。您可以下载从 php 传递的 HTML,就像在这个答案中一样。你没有得到 php 脚本,你得到的是 HTML + JavaScript(如果有的话)
<?php
header('Content-disposition: attachment;
filename=http://www.victim.com/phpfile.php');
header('Content-type: application/pdf');
readfile('http://www.victim.com/phpfile.php');
?>
【讨论】: