Я создаю веб-сайт, и я очень озабочен безопасностью, поэтому я слышал, что если вы храните все свои файлы .php за пределами папки public_html и вызываете их с помощью другого файла .php, который находится внутри вашей папки public_html, тогда вы рискуете атака ниже. Правда ли это, если да, то как бы я это сделал. Я что-то читал об использовании .htaccess, но не уверен, что это правильный способ. Хотя я мог бы использовать включение, но я не уверен, как включение работает с параметрами.
Как вызвать файл php, который находится за пределами public_html
Ответы (2)
Эта стратегия не предлагает огромного количества дополнительной защиты. В основном, это гарантирует, что если ваш сервер неправильно сконфигурирован и не сможет отправить сценарии PHP интерпретатору PHP, он не позволит отправить код PHP непосредственно в браузер.
Вы не храните все свои PHP-скрипты вне корня документа. Обычно вы храните только те файлы, которые не предназначены для публичного доступа за пределами корня документа. Храните включаемые файлы вне корня документа и включайте их так же, как и любой другой файл. Храните файлы, которые являются общедоступными представлениями, в корневом каталоге документа, так как они должны быть доступны через Интернет.
Существует шаблон проектирования, известный как шаблон переднего контроллера, согласно которому одна индексная страница (index.php) принимает маршруты и включает другие файлы по мере необходимости. Многочисленные PHP-фреймворки поддерживают это из коробки.
См. функцию включения PHP: http://www.php.net/manual/en/function.include.php
Однако я сомневаюсь, что то, что вы пытаетесь сделать, повысит безопасность. Где вы услышали, что это повышает безопасность?