Laravel 泄露 env 配置信息的 2 个原因：whoops 包, 根目录指向错误（回应某白帽子团队）

Ίκαρος 的个人博客 / 4 / 0 / 创建于 6年前 / 更新于 6年前

近日某标题党“白帽子”团队号称 “Laravel 出现 XXX 高危漏洞”，还像模像样给了几个解决方法...有点搞笑...
其实 Laravel 泄露 env 配置信息的原因主要有2个：

原因1. 生产环境 composer install 时没有加 --no-dev

Laravel 默认依赖的 filp/whoops包，当 .env 文件中配置 APP_DEBUG=true 时，会在出错页面打印 .env 配置信息。
Laravel 常用的 barryvdh/laravel-debugbar 包，当 .env 文件中配置 APP_DEBUG=true 时，会输出 session 等敏感信息。

以上两个包默认都在 composer.json 的 require-dev 分支里面，生产环境不安装这两个包，就算 APP_DEBUG 配置成 true，也不会泄露太多敏感的信息。

所以，生产环境部署系统时，一定要加 --no-dev：

composer install --no-dev -vvv

原因2. 网站根目录路径配置错误

这个不用多说，有些害人的新手教程里面，让大家把网站根目录配置成 public 目录的上级目录，使得别人可以直接访问 .env 文件。

切记：不要让别人能直接访问到 .env 文件。

laravel

本作品采用《CC 协议》，转载必须注明作者和本文链接

原创。所有 Laravel 文章均已收录至 Github laravel-tips 项目。

377 声望

架构师 @ 北京纬业信息科技有限公司

A PHP Artisan.

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

讨论数量: 0

(=￣ω￣=)··· 暂无内容！

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

架构师 @ 北京纬业信息科技有限公司

私信

文章归档

1 篇 2019 年 10 月 1 篇 2019 年 2 月 2 篇 2018 年 10 月 3 篇 2017 年 10 月 10 篇 2017 年 9 月

5年前支付宝公钥证书 PHP 版本 SDK（用于现金红包等业务） 6年前 Laravel 泄露 env 配置信息的 2 个原因：whoops 包, 根目录指向错误（回应某白帽子团队） 6年前 Laravel 配置 valet, PHPStorm, xdebug, PHPUnit, qcachegrind (Mac) 环境 6年前 Laravel 避免 Trying to get property of non-object 错误的六种方法 [新增第六种 data_get] 7年前 Laravel - From Apprentice To Artisan, by Taylor Otwell.

106 Laravel 避免 Trying to get property of non-object 错误的六种方法 [新增第六种 data_get] 59 Laravel Container (容器) 深入理解 (下) 52 Laravel 获取 Route Parameters (路由参数) 的 5 种方法 52 Laravel Dependency Injection (依赖注入) 概念详解 44 Laravel Query Builder 原理及用法

博客标签

成为赞助商