例如,如果我有一个邮件脚本或一个写入数据库的脚本 - 脚本不会回显任何重要的内容(除了感谢或错误消息),但会执行许多重要的后端工作。
直接访问它们可能存在哪些安全问题?
是否值得阻止直接访问此类文件?
他们正在使用接收数据$_POST
/$_GET
通过联系表格发送,然后邮寄或写入数据库(在这两种情况下都经过良好的验证)。
尽管如此,是否可以以某种方式访问正在处理的数据(除了破解我的帐户并下载它们:)),因为显然在浏览器中打开此类文件不会给攻击者带来任何结果?
服务器配置错误
安全风险是,如果 Web 服务器无法执行 php 文件(因为配置被重置),它的源代码将以纯文本形式显示在浏览器中。您可能想阻止这种情况发生。
错误的背景
除了该场景之外,另一个问题是,如果文件实际上对数据库数据执行了某些操作,例如,即使没有任何直接输出,调用该文件也会对间接输出产生影响。这通常也是不需要的。
在您的情况下,它甚至会发送电子邮件,因此可以使用直接请求来发送电子邮件。这可能也是不需要的。
更不用说这可能会让你的东西被渗透的风险。这并不是唯一可能的地方,但您应该保持表面较小。
改进的文件处理
然而,最好的方法是将应用程序代码存储在 Webroot 之外,以便直接 HTTP 请求永远无法访问这些文件。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)