Estoy desarrollando una aplicación PHP que tiene que responder a solicitudes de varios clientes, y pienso "¿Puede alguno de los clientes ver el código PHP que estoy escribiendo?".¿Puede un cliente ver el código fuente de PHP del lado del servidor?
Respuesta
No, a menos
- Hay una mala configuración del servidor
- Hay una mala eco/incluir algún lugar
No. A menos que se lo repita por debajo de donde realmente lo está usando.
Si ha configurado su servidor web para servir en lugar de analizar su php sí. Pero luego los clientes no funcionarían. Entonces la restricción de agujeros de seguridad, la respuesta es no.
No, pero debe tomar todas las medidas para evitarlo.
Siempre debe configurar su código sensible (diablos, ¿por qué no todos?) En un directorio debajo de su servidor de trabajo dir (digamos/www), de esa manera si el servidor se arruina, no podrá mostrar su código para el mundo porque ese código será incluido por php que no está funcionando en primer lugar.
El uso incluye desde abajo o fuera del directorio www servido. (aún no puede +1 ... para Frankie)
No utilice enlaces simbólicos para sus directorios http. Lo he usado intencionalmente para mostrar el origen y ejecutar según la ruta de solicitud del usuario anterior, pero eso requirió cambios de httpd.conf (o configuración incorrecta) y se puede desactivar explícitamente en httpd.conf.
Si permite descargas de archivos usando fopen, no pase nada de lo que el usuario cree o podría descubrir cómo conseguirlo para tomar cualquier archivo que pueda encontrar. Considere :
fopen('reports/' . $_GET['blah']);
donde el usuario pasa en '../index.php'
Nº Suponiendo que haya instalado una L/servidor UAMP correctamente, o no está imprimiendo a cabo (eco, print_r, etc.) y de las agallas de su código, el PHP será procesado y la lógica o HTML que se pretende generar será utilizado en la página, no visible.
N.B. Si no hay un 'índice' en un directorio o un archivo .htacess adecuado, un servidor Apache mostrará una lista de archivos en el directorio, que puede descargarse y revisarse.
Sí, pero incluso si los descargas, lo único que verás es el HTML que se genera. No verás el código PHP. – galdikas
Un error para que esto ocurra es para pegar una etiqueta php dentro de una cadena php, ejemplo:
$string = "This is the answer: <s><?php echo $answer; ?></s>";
echo $string;
la persona hizo un Ctrl + C y Ctrl + V de algo que debe ser impreso a lo largo de la cadena , pero el codificador olvidó eliminar las etiquetas php por distracción.
- 1. Método del lado del servidor y del lado del cliente
- 2. Ruby: del lado del cliente o del lado del servidor?
- 3. Validación de entrada de usuario, del lado del cliente o del lado del servidor? [PHP/JS]
- 4. lado del servidor MVC + lado del cliente MVC
- 5. Web Charting, lado del servidor o del lado del cliente?
- 6. Temporizador del lado del servidor PHP?
- 7. Paginación: ¿lado del servidor o lado del cliente?
- 8. Idiomas del lado del cliente
- 9. ¿Cuándo usar el lado del cliente o del lado del servidor?
- 10. Sesiones del lado del cliente
- 11. ¿Cómo ejecutar el código del lado del cliente y del servidor para el mismo botón?
- 12. ¿Puedo enviar un objeto desde javascript del lado del cliente al código del lado del servidor a través de ASP.NET?
- 13. Evento del servidor ASP.net manejado desde el lado del cliente
- 14. Plantillas del lado del servidor, plantillas del lado del cliente - ¿Conversión automática?
- 15. ¿Hay un cliente Websocket del lado del servidor para node.js?
- 16. librería javascript para el almacenamiento del lado del cliente con la sincronización del lado del servidor
- 17. Node.js protección del código del lado del servidor
- 18. Navegador del lado del servidor que puede ejecutar JavaScript
- 19. jqgrid clasificación del lado del cliente con paginación del lado del servidor - los datos desaparecen
- 20. ¿Cómo usar las reglas de validación tanto del lado del cliente como del lado del servidor?
- 21. ¿Debo hacer solicitudes de API del lado del servidor o del lado del cliente?
- 22. No use System.out.println en el código del lado del servidor
- 23. caché de archivos del lado del cliente
- 24. Utilice menos (preprocesador css) del lado del servidor o del lado del cliente
- 25. ¿Del lado del servidor o del lado del cliente para buscar tweets?
- 26. Crear validación combinada del lado del cliente y del lado del servidor en Symfony2
- 27. Análisis del lado del servidor
- 28. ¿Cuál es la forma más segura de pasar argumentos del lado del servidor PHP al lado del cliente?
- 29. Método no estático en el lado del servidor desde el lado del cliente usando JavsScript
- 30. ¿Qué tan rápido es javascript del lado del cliente contra Java del lado del servidor?
¿Puedes dar un ejemplo de mal inclusión o eco? – Mj1992