使用laravel需注意.env權限

 2,929 total views,  1 views today

oogle 搜尋

"DB_PASSWORD" filetype:env

會找到很多網站使用 laravel 但是沒設定好 權限的 .env
整個資料庫帳號密碼 通通曝露了。

老實說,我也是。因為在linux,好像由 . 開頭的記得是隱藏檔,不能隨便開的,在社團看到後就檢查自己的網站,掯!居然也是可以透過瀏覽器看到 .env ,嚇出一身冷汗。

目前除了將根目錄設定 /public 另一個解法是在 .env 目錄的

apache的設定
.htaccess 加入

<Files ".*">
Require all denied
</Files>

nginx 設定

location ~* \.env$ {
deny all;
}

 

發表迴響

%d 位部落客按了讚: