Laravel 泄露 env 配置信息的 2 个原因：whoops 包, 根目录指向错误（回应某白帽子团队）

Ίκαρος 的个人博客 / 11 / 0 / 创建于 6年前 / 更新于 6年前

近日某标题党“白帽子”团队号称 “Laravel 出现 XXX 高危漏洞”，还像模像样给了几个解决方法...有点搞笑...
其实 Laravel 泄露 env 配置信息的原因主要有2个：

原因1. 生产环境 composer install 时没有加 --no-dev

Laravel 默认依赖的 filp/whoops包，当 .env 文件中配置 APP_DEBUG=true 时，会在出错页面打印 .env 配置信息。
Laravel 常用的 barryvdh/laravel-debugbar 包，当 .env 文件中配置 APP_DEBUG=true 时，会输出 session 等敏感信息。

以上两个包默认都在 composer.json 的 require-dev 分支里面，生产环境不安装这两个包，就算 APP_DEBUG 配置成 true，也不会泄露太多敏感的信息。

所以，生产环境部署系统时，一定要加 --no-dev：

composer install --no-dev -vvv

原因2. 网站根目录路径配置错误

这个不用多说，有些害人的新手教程里面，让大家把网站根目录配置成 public 目录的上级目录，使得别人可以直接访问 .env 文件。

切记：不要让别人能直接访问到 .env 文件。

laravel

本作品采用《CC 协议》，转载必须注明作者和本文链接

原创。所有 Laravel 文章均已收录至 Github laravel-tips 项目。

378 声望

架构师 @ 北京纬业信息科技有限公司

A PHP Artisan.

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《L01 基础入门》

我们将带你从零开发一个项目并部署到线上，本课程教授 Web 开发中专业、实用的技能，如 Git 工作流、Laravel Mix 前端工作流等。

推荐文章：

更多推荐...

用 Laravel12 Startkit 做了一个 composer 私有包托管平台 😂 点赞超过 20 个开源，看看需要的人多不多 28 / 19 |

花了四个月打磨的 Laravel Plus 开源 34 / 101 |

试用 Laravel + 树莓派搭建视频监控，并支持线上访问 27 / 19 |

在laravel下实现全双工的websocket开发 21 / 10 |

无需修改任何代码和扩展将你的Laravel项目性能提高20倍 103 / 101 |

Laravel 实用小技巧——缓存标签的小秘密（下） 12 / 11 |

讨论数量: 0

(=￣ω￣=)··· 暂无内容！

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

架构师 @ 北京纬业信息科技有限公司

私信

文章归档

1 篇 2019 年 10 月 1 篇 2019 年 2 月 2 篇 2018 年 10 月 3 篇 2017 年 10 月 10 篇 2017 年 9 月

6年前支付宝公钥证书 PHP 版本 SDK（用于现金红包等业务） 6年前 Laravel 泄露 env 配置信息的 2 个原因：whoops 包, 根目录指向错误（回应某白帽子团队） 7年前 Laravel 配置 valet, PHPStorm, xdebug, PHPUnit, qcachegrind (Mac) 环境 7年前 Laravel 避免 Trying to get property of non-object 错误的六种方法 [新增第六种 data_get] 8年前 Laravel - From Apprentice To Artisan, by Taylor Otwell.

106 Laravel 避免 Trying to get property of non-object 错误的六种方法 [新增第六种 data_get] 59 Laravel Container (容器) 深入理解 (下) 52 Laravel 获取 Route Parameters (路由参数) 的 5 种方法 52 Laravel Dependency Injection (依赖注入) 概念详解 44 Laravel Query Builder 原理及用法

博客标签

成为赞助商