使用laravel需注意.env權限
oogle 搜尋
"DB_PASSWORD" filetype:env
會找到很多網站使用 laravel 但是沒設定好 權限的 .env
整個資料庫帳號密碼 通通曝露了。
老實說,我也是。因為在linux,好像由 . 開頭的記得是隱藏檔,不能隨便開的,在社團看到後就檢查自己的網站,掯!居然也是可以透過瀏覽器看到 .env ,嚇出一身冷汗。
目前除了將根目錄設定 /public 另一個解法是在 .env 目錄的
apache的設定
.htaccess 加入
<Files ".*"> Require all denied </Files>
nginx 設定
location ~* \.env$ {
deny all;
}