ho appena scoperto che laravel 5 possono dati sensibili in uscita e può portare a un ulteriore sfruttamento di molti ospiti:Impedire l'accesso del pubblico ai file di ENV
https://www.google.com/search?q=intext%3ADB_PASSWORD+ext%3Aenv&gws_rd=ssl
Voglio conoscere il modo per proteggere il mio file .env
. Posso usare sotto il codice nel file .htaccess
per proteggere il mio file .env
dalla visualizzazione del browser?
# Protect .env
<Files .env>
Order Allow,Deny
Deny from all
</Files>
sarà il mio codice di cui sopra in .htaccess
lavoro e proteggere il mio file .env
?
malato segnala questo subito –
finché il file .env è sopra un livello dalla cartella pubblica non vedo alcuna vulnerabilità. L'unico problema sarebbe se qualcuno crea un'altra app su un sottolivello della cartella pubblica o se la root dell'app si trova all'interno di un'altra root di dominio. .. Inoltre puoi aggiungere il file .env a robots.txt in modo che google non lo indicizzi. Ma il più importante è il primo che ho menzionato. – astroanu
@Yousef questo non è un problema, perché il webroot è 'public /', non la radice del progetto. – Amelia