0
例如,在Chrome中使用开发人员工具,可以将页面上任何链接的目标更改为index.php,并将下载属性添加到该链接。然后,只需单击该链接,index.php的下载就会执行 - 提供该index.php存在于网站上,并且与我所在的页面位于同一目录中。考虑到PHP在世界上的广泛使用(超过80%的网站),我猜每个第二个网站都包含index.php。事实上,我尝试从随机网站下载几个文件 - 所有者不知道,但他们很幸运,我不打算滥用他们的数据。在几乎所有成功下载的index.php的情况下,我也想出了一种方法来查找其MySQL数据库的凭据(如果它正在使用)。 现在我正在做我的网站,并希望避免这种情况。它是如何完成的?我购买虚拟主机,并有权访问php.ini。谢谢你。如何避免恶意使用下载属性?
如果数据库的凭据在页面中出现问题。这是一个可怕的方式来建立任何应用程序。这些类型的东西应该总是在配置文件或ini文件中。这使它变成一个单一的位置,你也可以很容易地防止在iis或apache中提供这种类型的文件。 –
开发您的网站,就好像它是开源的。秘密应该存储在无法访问的文件中。 – 4castle
所以你找到了一种方式来下载index.php作为下载...你真的看到unparsed的PHP代码? –