原生 PHP 项目引入 Laravel 进行二次开发，安全问题令人担忧，求改进方法

原项目运行环境如下
PHP 版本：5.4.45（不能升级）
运行方式：cgi-fcgi
Web 服务器：Windows NT

如今要新增功能，为方便二次开发，我在原项目的根目录里新建了一个laravel5.0项目。整体目录如下

网站根目录
 |- .htaccess
 |- index.php
 |- laravel5.0
      |- .env
      |- public
           |- .htaccess
           |- index.php
           |- web.config

但是，这却带来了安全问题，因为整个laravel5.0项目全部都暴露在网站的根目录里了。要求：设置 laravel5.0整个目录及其子目录禁止访问（除public目录之外）。请问该如何配置服务器呢？
暂不考虑apache和nginx的配置，能否通过修改.htaccess、web.config或其他方式达到目的呢？

laravel 二次开发

zhaiduting

课程读者 396 声望

村里的河水原本可以直接饮用的！

0 人点赞

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

我们将带你从零开发一个项目并部署到线上，本课程教授 Web 开发中专业、实用的技能，如 Git 工作流、Laravel Mix 前端工作流等。

leo

管理员 4.7k 声望 / Engineering Director of Backend @ RightCapital

最佳答案

线上可以不需要 .env 文件，只要把 config 目录下的配置里所有 env() 函数的第二个参数设成线上的数值即可，本地可以继续保留 .env 文件。

5年前评论

zhaiduting （楼主）

谢谢！

zhaiduting （楼主）

这办法的确有效，配置参数写进php文件以后可以起到保护作用。如果试图访问 http://x.xxx.xx/laravel5/config/app.php 这样的文件，是看不到任何信息的。恶意用户只能得到一个 500 的无意义信息。.../config/database.php 等文件同理。不知道有没有更好的办法，可以直接禁止访问某个文件或文件夹的那种

zhaiduting （楼主）

把配置信息写到 config 目录的文件里，虽然感觉参数写死了，但是通用性强。如果一定要修改配置文件的话，还得针对apache、nginx和IIS各写一份，更麻烦，不如写死参数来得快

讨论数量: 6

leo

管理员 4.7k 声望 / Engineering Director of Backend @ RightCapital

线上可以不需要 .env 文件，只要把 config 目录下的配置里所有 env() 函数的第二个参数设成线上的数值即可，本地可以继续保留 .env 文件。

5年前评论

zhaiduting （楼主）

谢谢！

zhaiduting （楼主）

这办法的确有效，配置参数写进php文件以后可以起到保护作用。如果试图访问 http://x.xxx.xx/laravel5/config/app.php 这样的文件，是看不到任何信息的。恶意用户只能得到一个 500 的无意义信息。.../config/database.php 等文件同理。不知道有没有更好的办法，可以直接禁止访问某个文件或文件夹的那种

zhaiduting （楼主）

把配置信息写到 config 目录的文件里，虽然感觉参数写死了，但是通用性强。如果一定要修改配置文件的话，还得针对apache、nginx和IIS各写一份，更麻烦，不如写死参数来得快

dvaknheo

5 声望

那就还是用旧版 CI 或者 TP 3.2 吧。至少人家稳定。
CI2.x 系列跑了十来年的都有。 CI 一个好处是除去不恰当使用，基本没漏洞。

5年前评论

zhaiduting （楼主）

生米煮成熟饭了，我都用laravel搞得差不多了

hiword

205 声望

public_path重新设定下就行了,laravel其它可以全部移走

5年前评论

zhaiduting （楼主）

laravel项目不能移出，只能放在网站根目录下面

leo

管理员 4.7k 声望 / Engineering Director of Backend @ RightCapital

线上可以不需要 .env 文件，只要把 config 目录下的配置里所有 env() 函数的第二个参数设成线上的数值即可，本地可以继续保留 .env 文件。

5年前评论

zhaiduting （楼主）

谢谢！

zhaiduting （楼主）

这办法的确有效，配置参数写进php文件以后可以起到保护作用。如果试图访问 http://x.xxx.xx/laravel5/config/app.php 这样的文件，是看不到任何信息的。恶意用户只能得到一个 500 的无意义信息。.../config/database.php 等文件同理。不知道有没有更好的办法，可以直接禁止访问某个文件或文件夹的那种

zhaiduting （楼主）

把配置信息写到 config 目录的文件里，虽然感觉参数写死了，但是通用性强。如果一定要修改配置文件的话，还得针对apache、nginx和IIS各写一份，更麻烦，不如写死参数来得快

zhaiduting

课程读者 396 声望

刚刚百度了一篇文章《.htaccess的基本作用及相关语法介绍》，貌似配置 .htaccess 文件可以达到要求。但是好像有几个前提：1、只能针对阿帕奇服务器有效，IIS或nginx无效？2、只能针对当前目录有效，层级目录的话需要多层配置？文章没有仔细阅读了，因为感觉还是解决不了我的问题

5年前评论

可乐加冰

课程读者 41 声望

都这么干了,, 把原有项目统一一下吧. 不然接手人有想打死你的冲动

5年前评论

zhaiduting （楼主）

原项目不用动的，不知道他是怎么写的，轻易没法动。仅仅加了一个新功能的链接，让他指向laravel的路由，之后就是我该干的事了。用laravel进行增删改查或者表间关联操作，比原项目的那套方便得不是一丁点！原项目还得自己写SQL查询……接手人也会觉得这样很方便的！

❤seven

@zhaiduting nginx代理一下就行判断访问的路径选择执行laravel的程序还是原来的程序什么都不用改

zhaiduting （楼主）

@❤seven 谢谢，这个项目好像是用IIS搭的服务器，改天我也用IIS试试，然后百度一下 web.config 的配置方法

可乐加冰（作者）

@zhaiduting 好吧,我也不是太清楚你怎么弄的.如果是我的话,我会选择另起一个项目,或者在原有项目上面做处理原有上面太难用的话,会通过composer引入一些常用的组件

zhaiduting （楼主）

@可乐加冰情况是这样的，原有项目很大很复杂，仅仅需要我添加一个小功能模块。直接修改原项目不划算，要读他的代码，手写SQL查询，用原生PHP添加新功能。我的做法比较优雅，原项目包里创建laravel，好处明显：1、不污染原项目，相对隔离；2、贯通性强，因为没有另起炉灶，完全规避跨域问题；3、集laravel与Vue于一身，升级到Webpack4，实现前端资源懒加载。真的是便利多多！（laravel5.4集成了前端资源，laravel5.0-5.3 需要自己配置前端）

dvaknheo

5 声望

laravel项目不能移出，只能放在网站根目录下面

可以的啊，把index.php 里这句

 require __DIR__.'/../vendor/autoload.php';

改了就行

5年前评论

zhaiduting （楼主）

谢谢！

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

原生 PHP 项目引入 Laravel 进行二次开发，安全问题令人担忧，求改进方法

高认可度评论：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

原生 PHP 项目引入 Laravel 进行二次开发，安全问题令人担忧，求改进方法

高认可度评论：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录