config.php 在根黑客安全中，权限设置为 644？

Question

即使将权限设置为 644，将 config.php 放在网站的根目录中是否安全？

Answer 1

你的 config.php 应该可以被你的网络服务器读取，并且任何权限的修改都不会改变这一点。
另外，将它放在其他地方也没有多大帮助 - 因为既然你的 php 代码应该能够读取它，任何设法在你的服务器上运行他的代码的黑客都将能够读取它。

因此，无论您将其放在哪里，它都面临着被成功入侵您的服务器的黑客访问的危险。将其放在网络根目录中并不比将其放在其他地方更安全或更不安全。

Answer 2

只要没有人可以通过 SSH 或 FTP 访问您的服务器，并且您的网站中不存在允许任何人访问 PHP 文件源的错误/安全漏洞，那么这应该是没问题的。

请注意，您的 Apache 用户必须访问该文件（以便可以从其他 PHP 脚本中包含该文件）；因此，无论你把它放在哪里，如果你有一个允许用户读取 PHP 文件的安全漏洞，它不会改变任何事情。

一个想法可能是将该文件放在文档根目录之外，或者放在受 .htaccess 文件保护的目录内，拒绝任何人的访问 - 至少，如果您的服务器配置不正确并显示源代码PHP 文件，该文件的内容将不会显示（因为无法通过 HTTP 直接访问/提供服务）。

如果安全漏洞允许 PHP 文件显示其他 PHP 文件的内容，这将无济于事（我已经看到过这种情况发生），但这仍然是第一步。