前言
很多站长有这样一个习惯,更改网站配置文件之前将原始文件重命名来备份,例如将config.php重命名为config.php.bak,殊不知这样一个小小的细节就给黑客留下了可乘之机,站长们可以做如下实验:
步骤
1、将您网站根目录下任意.php文件重命名为.php.bak,例如将config.php重命名为config.php.bak
2、然后您在浏览器中输入http://你的网站域名/config.php.bak
3、看到没?PHP文件里面所有的信息都显示出来了有没有?或者是可以下载!但是你直接访问 http:// 你的网站域名 / config.php (非入口文件)是看不到里面的代码的!
所以,黑客就利用了站长们这点不好的习惯,对网站的可能的配置文件进行扫描,如下图某网站安全软件拦截信息:
后记
所以各位站长切记,以免让不速之客有可乘之机!
2016年10月12日 下午5:06 11楼
….我从来都是手动打包备份
2016年10月12日 下午5:07 1层
@同盟源 Me Too
2016年09月26日 下午6:34 12楼
一般程序应该会自动拦截吧
2016年02月11日 下午3:27 13楼
签到成功!签到时间:2016-02-11 15:27:15,每日打卡,生活更精彩哦~
2016年02月06日 上午12:16 14楼
任何时候.php在后就不会出现这个问题。
config.php.bak -> config.bak.php
2016年02月06日 上午6:37 1层
@前端公共库 php是不会出现的这个问题的。
2016年02月06日 上午7:41 2层
@憧憬Licoy 如果是 config.php.bak Apache就直接当 .bak 处理.
2016年02月06日 上午7:49 3层
@前端公共库 都是以最后的后缀名为类型
2015年12月19日 下午2:43 15楼
谢谢光顾