主页
服务器目录的 [沉默是金]
标签:, ,

服务器目录的 [沉默是金]

6 Comments 2014年11月16日 互联网, 折腾, 杂乱, 网站信息与统计

服务器目录一般都会有 index.php, index.html 之类的默认文件名, 也就是说当访问的时候打的URL是目录名,会自动匹配默认的文件来显示.但是如果目录下并没有找到这样的[默认]文件,则会按照配置,一个是把当前目录下的文件列出来,二是显示 403 没有权限错误.后者会好一些,当然并不是所有服务器都会出于安全考虑把这个设置成不显示目录内容.

所以,你经常可以看到一些 index.php (特别是Wordpress 的一些插件目录), 里面是:

1

<?php //You don't belong here. ?>
<?php //You don't belong here. ?>

或者是:

1
2
3

<?php
// Silence is golden.
?>
<?php
// Silence is golden.
?>

当然还有很多版本,但无非都是防止目录被显示内容,这样访问者就不会知道目录下有哪些文件,也减少了风险,试想一下, 如果你目录下有一个叫 [secret.txt] 之类的文件,访问者如果知道有这文件,肯定会很好奇的.

其实,我觉得最完美的解决方案应该是:

1
2
3
4
5

<?php
  header($_SERVER['SERVER_PROTOCOL'] . ' 404 Not Found');
  exit("<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">\r\n<html><head>>\r\n<title>404 Not Found</title>\r\n</head><body>\r\n
<h1>Not Found</h1>\r\n<p>The requested URL " . $_SERVER['SCRIPT_NAME'] . " was not found on this server.</p>\r\n&lgt;/body></html>");
?>
<?php
  header($_SERVER['SERVER_PROTOCOL'] . ' 404 Not Found');
  exit("<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">\r\n<html><head>>\r\n<title>404 Not Found</title>\r\n</head><body>\r\n
<h1>Not Found</h1>\r\n<p>The requested URL " . $_SERVER['SCRIPT_NAME'] . " was not found on this server.</p>\r\n&lgt;/body></html>");
?>

这样,访问该目录URL,则会显示404未找到的错误,搞得和真的一样,迷惑居心不良的人.

在一些不能直接访问的PHP代码文件里,最前面都会加上类似的判断,用于防止文件被直接访问,比如配置文件 wp-config.php 

1
2
3
4
5
6

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if ( !defined('ABSPATH') )
    die('-1');
if (!defined('IN_PHPBB'))
	exit;

// don't load directly
if ( !defined('ABSPATH') )
	die('-1');

这样做的好处是防止直接运行脚本报错导致一些敏感信息泄露.如果有一些目录含有一些LOG记录等敏感信息,则可以在 .htaccess 文件里配置:

order allow,deny 
deny from all

这样任何这个目录下的文件就不可能被公开访问到.比如 iThemes Security 就把数据库保存还有LOG文件的目录设置成不可访问.

英文同步: https://helloacm.com/silence-is-gold-rule-in-webserver-directories/

GD Star Rating
loading...
本文一共 450 个汉字, 你数一下对不对.
服务器目录的 [沉默是金]. (AMP 移动加速版本)
上一篇: 如何取消 iThemes Security 插件的 Away Mode (离开模式)
下一篇: 心理不平衡
赞赏我的几个理由.
¥ 打赏支持

扫描二维码,分享本文到微信朋友圈
5d9fde06fce9c2bf21e0fd385074cc7a 服务器目录的 [沉默是金] 互联网 折腾 杂乱 网站信息与统计

相关文章:

  1. 可以用ChatGPT来轻松转换编程语言 ChatGPT是今年最火的技术,人工智能AI,但是确实来说,是AGI,也就是通用人工智能 Artificial General Intelligence。ChatGPT可以用来做很多事情,我最近发现它可以拿来转换编程语言。比如我想学习一门新语言了,就可以把现有的程序让ChatGPT转换成新的编程语言。或者在力扣上换个新的编程语言学习一下。 下面这个例子ChatGPT转换后的代码我就可以直接在力扣上跑,就通过了所有的测试用例。 网上还有很多不同语言之间的转换工具,相信实现起来都不简单,但是如今有了ChatGPT这个通用人工智能,完全可以套个UI前端就可以实现不同语言之间的转换工具,而且转换逻辑完全不用自己实现,调用ChatGPT的API即可。 英文:Programming Language Conversion Tool based on ChatGPT AI 本文一共...
  2. 智能手机 HTC One M9 使用测评 虽然我对手机要求不高, 远远没有像追求VPS服务器一样, 但是怎么算来两年内换了四个手机, 先是三星 S4 用了一年多, 然后 Nokia Lumia 635 Windows Phone, 后来又是 BLU, 半年多前换了...
  3. 按揭贷款(房贷,车贷) 每月还贷计算器 去年给银行借了17万英镑 买了20万7500英镑的房子, 25年还清. 前2年是定率 Fix Rate 的合同 (年利率2.49%). 每个月大概是还 700多英镑. 有很多种还贷的计算方式, 定率/每月固定 是比较常用的. 简单来说就是 每个月交的钱是...
  4. 穷举算法的应用 – 去除EXCEL文件中的保护 EXCEL 是可以用密码来保护的. 比如 这个EXCEL 就用了密码保护. 打开EXCEL文件 你会注意到 无法编辑 无法查看宏(VBA)的代码. 去除保护很简单 第一步先编辑宏 VBA 把下面的VBA代码拷贝到VBA编辑器里 并按下F5运行 1...
  5. Adsense 广告违返条例 Adsense 的条条框框真的很多. 稍微一不注意就违反规定了. 至从我放了ADSENSE广告之后 没有挣多少 却有4次警告 (网站级别的) ADSENSE不放又不甘心 寥胜于无. 四次中有两次 我记得是 误报. 一次是说我改了广告的尺寸 另一次是说我的 这个页面...
  6. 英国QuickHostUK主机大升级 Ubuntu 16.04 + PHP7 方法和经验 自从 Ubuntu 16.04 大版本更新后 每次SSH登陆的时候就会提醒用 do-release-upgrade 来进行更新. 我其实对于新的更新是不抗拒 甚至是欢迎的 但是第一次在更新提示有 25个包需要被删除 157个包会被安装 并且640个包会被升级..也得谨慎一些. 安装包509M 网速3分钟就能下完,...
  7. 浅谈虚拟货币交易所三角套利的算法 高频交易(HFT, High Frequency Trading) 指得是我们可以让程序调用交易所的API 来自动下买单或者卖单, 赚差价来达到挣钱的目的. 常见的高频交易策略有低买高卖, 本文介绍一种常见的三角套利的策略. 高频交易 (HFT) 简介 高频交易 (HFT) 是一种算法交易,...
  8. 推荐一款 CHROME 插件 – Wappalyzer 这个CHROME浏览器插件很方便的可以让你知道当前标签页里的网页 有用到哪些 技术. 你可以用它来检查是否插件正常工作. 1. CLOUD FLARE CDN 2. ADSENSE 3. GOOGLE ANALYTICS 4. Gravatar...

6 条评论

  1. 兔二爷 | 理性的感性生活

    不明觉厉!

    Reply
  2. 兔二爷 | 理性的感性生活

    小赖子,你的缓存好像有点问题.这里显示的是”《服务器目录的 [沉默是金]》上有2条评论”,但是我只看到我自己的一条.我记得之前在你的某篇文章的评论里有人提到类似的问题,说是有5条评论,实际上看到不足5条.

    Reply
  3. 土木坛子

    坐等今日故事会.

    Reply

评论