Laravel 泄露 env 配置信息的 2 个原因：whoops 包, 根目录指向错误（回应某白帽子团队）

Ίκαρος 的个人博客 / 1610 / 0 / 创建于 5年前 / 更新于 5年前

近日某标题党“白帽子”团队号称 “Laravel 出现 XXX 高危漏洞”，还像模像样给了几个解决方法...有点搞笑...
其实 Laravel 泄露 env 配置信息的原因主要有2个：

原因1. 生产环境 composer install 时没有加 --no-dev

Laravel 默认依赖的 filp/whoops包，当 .env 文件中配置 APP_DEBUG=true 时，会在出错页面打印 .env 配置信息。
Laravel 常用的 barryvdh/laravel-debugbar 包，当 .env 文件中配置 APP_DEBUG=true 时，会输出 session 等敏感信息。

以上两个包默认都在 composer.json 的 require-dev 分支里面，生产环境不安装这两个包，就算 APP_DEBUG 配置成 true，也不会泄露太多敏感的信息。

所以，生产环境部署系统时，一定要加 --no-dev：

composer install --no-dev -vvv

原因2. 网站根目录路径配置错误

这个不用多说，有些害人的新手教程里面，让大家把网站根目录配置成 public 目录的上级目录，使得别人可以直接访问 .env 文件。

切记：不要让别人能直接访问到 .env 文件。

laravel

本作品采用《CC 协议》，转载必须注明作者和本文链接

原创。所有 Laravel 文章均已收录至 Github laravel-tips 项目。

378 声望

架构师 @ 北京纬业信息科技有限公司

A PHP Artisan.

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

Laravel 11 中文文档仓库，已翻译完成！！！ 16 / 28 |

Laravel验证器最完整用法实例 31 / 14 |

PHP Annotated——2023 年 12 月 25 / 2 |

使用 Laravel 10 & Vue 3 开发了一个社区站，一起来玩下～ 17 / 39 |

历时一个月，《穿透Laravel》全书完成！ 88 / 25 |

[开源项目] 基于 laravel 开发的一个社区/社交小程序 23 / 47 |

讨论数量: 0

(=￣ω￣=)··· 暂无内容！

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

架构师 @ 北京纬业信息科技有限公司

私信

文章归档

1 篇 2019 年 10 月 1 篇 2019 年 2 月 2 篇 2018 年 10 月 3 篇 2017 年 10 月 10 篇 2017 年 9 月

4年前支付宝公钥证书 PHP 版本 SDK（用于现金红包等业务） 5年前 Laravel 泄露 env 配置信息的 2 个原因：whoops 包, 根目录指向错误（回应某白帽子团队） 5年前 Laravel 配置 valet, PHPStorm, xdebug, PHPUnit, qcachegrind (Mac) 环境 5年前 Laravel 避免 Trying to get property of non-object 错误的六种方法 [新增第六种 data_get] 6年前 Laravel - From Apprentice To Artisan, by Taylor Otwell.

106 Laravel 避免 Trying to get property of non-object 错误的六种方法 [新增第六种 data_get] 59 Laravel Container (容器) 深入理解 (下) 52 Laravel 获取 Route Parameters (路由参数) 的 5 种方法 52 Laravel Dependency Injection (依赖注入) 概念详解 44 Laravel Query Builder 原理及用法

博客标签

成为赞助商