有没有办法做到这一点?从服务器检索原始.php文件(除了进入服务器的FTP帐户)?这是为什么有加密php源代码的工具/脚本的原因?
如果这是真的,那么如何防范呢?(不使用php源代码加密)
编辑:提到的服务器有php运行,例如.apache-php-mysql,您的标准托管服务器配置.
如果你在谈论别人的服务器,那么简短的回答是否定的.如果第三方可以读取您的PHP源代码,那将是一个相当大的安全漏洞,因为PHP文件往往包含数据库密码,哈希键,专有算法和其他您不希望落入坏人手中的好东西.
如果您正在谈论自己的服务器(即您自己有权访问),那么您可以在服务器上放置简单的脚本,允许您指定服务器上任何文件的路径并将其作为纯文本. 但是,由于上述原因,您永远不会想要将这样的脚本放在生产服务器上.
一般来说,您无法访问远程源代码.必须禁用PHP模块才能实现此目的.
但作为一个思想实验,这会怎么样?
除了可以访问整个文件系统的批处理漏洞外,想象一下应用程序中是否存在允许您在.htaccess文件中插入一行的安全漏洞.鉴于httpd进程可写的.htaccess对Wordpress等应用程序很有用,它的可能性并不太古怪.
如果你添加了这个:
php_value engine off
源文件现在可以下载了!
京公网安备 11010802040832号 | 京ICP备19059560号-6 