Если я опубликую страницу PHP (например, mypage.php) в своем размещенном веб-пространстве (URL-адрес страницы PHP общеизвестен, например, http://example.com/mypage.php), может ли хакер каким-то образом получить доступ к PHP источник этой страницы PHP? Если да, как я могу предотвратить это?
Источник страницы может быть:
может ли хакер каким-то образом получить доступ к источнику PHP этой страницы PHP?
Да.
Если да, как я могу предотвратить это?
Ну, это требует знания о том, как они могли получить доступ.
Хакер может получить доступ к вашему серверу по SSH (в случае виртуального частного сервера), или он может украсть или взломать ваши учетные данные FTP (S), если вы пользуетесь планом общего хостинга. Тогда они будут иметь доступ к фактическим файлам на сервере.
Поэтому убедитесь, что вы используете безопасные пароли, и, если это ваш собственный сервер, возможно, отключите вход по паролю для SSH, установите fail2ban и т.д. Вы также должны убедиться, что скрипты PHP принадлежат пользователю, который не может получить права администратора (т.е. не может sudo без пароля), и что несколько разных сайтов, размещенных на одном сервере, имеют свои файлы сценариев, принадлежащие разным пользователям, поэтому в случае, если один из них будет взломан, другие все еще будут в некоторой степени безопасны.
При настройке пользователей и владельцев веб-серверов необходимо учитывать несколько моментов . Если вы новичок в администрировании серверов, и у вас есть один из них, работающий с PHP-скриптами, будьте готовы быть очень уязвимыми. Сохраняйте резервные копии и обновляйте систему безопасности как для PHP-скриптов ОС, так и для сторонних разработчиков.
Теперь самое важное - убедиться, что ваш веб-сервер сконфигурирован для обработки файлов PHP с интерпретатором PHP, а не для их использования в виде текстовых файлов. Но если вы установили веб-сервер и PHP в соответствии с официальной документацией, и ваши файлы PHP отображаются нормально, вам не стоит беспокоиться об этой части.
Обратите внимание, что не имеет значения, смешан ли PHP с HTML или нет. Сервер будет просто выводить то, что генерирует файл PHP, а HTML передается как есть.
