浅谈inc文件的安全性问题
我在看许多PHP编程人员在编程时候,都喜欢把一些常写的代码或配置信息,写在一个.inc的文件中,如shared.inc、global.inc等等,当然这是一个很好的习惯,包括PHP官方网站都是如此,但不知你有没有注意到这里面含一个安全隐患问题。
我有一次在写一个PHP代码时,无意中写错了一句话,当我在浏览器里查看此PHP文件时,竟然发现屏幕详细的显示了我所出错的PHP文件路径及代码行。(PHP错误显示配置是开着的(此功能在PHP里是默认的!!)),这就是说当我们无意写错代码时(同样.inc文件也一样),(或者PHP代码解析出问题时),而PHP错误显示又是开着的,客户端的用户就会看到具体url地址的.inc文件,而.url文件如同txt文本一样,当在浏览器中浏览时,就毫无保留地显示了它的内容,如果你在.inc文件写了重要的信息如用户密码之类的,那你的站点就会玩完了。
当然我们可以通过一些办法解决:
1,你可以专门对.inc文件进行配置,避免用户直接获取源文件。
2,当然比较好的方法是,加上 ?>并且改文件扩展名为.php(PHP可以解析的扩展名),这样客户端就不会获取源文件了。
补充:综合编程 , 安全编程 ,