Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

原生 PHP 项目引入 Laravel 进行二次开发,安全问题令人担忧,求改进方法

问答 / 943 / 6 / 创建于 4年前 / 更新于 4年前

原项目运行环境如下
PHP 版本:5.4.45(不能升级)
运行方式:cgi-fcgi
Web 服务器:Windows NT

如今要新增功能,为方便二次开发,我在原项目的根目录里新建了一个laravel5.0项目。整体目录如下

网站根目录
 |- .htaccess
 |- index.php
 |- laravel5.0
      |- .env
      |- public
           |- .htaccess
           |- index.php
           |- web.config

但是,这却带来了安全问题,因为整个laravel5.0项目全部都暴露在网站的根目录里了。要求:设置 laravel5.0整个目录及其子目录禁止访问(除public目录之外)。请问该如何配置服务器呢?
暂不考虑apache和nginx的配置,能否通过修改.htaccess、web.config或其他方式达到目的呢?

laravel 二次开发
zhaiduting
课程读者 386 声望
村里的河水原本可以直接饮用的!
《L04 微信小程序从零到发布》
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《G01 Go 实战入门》
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
leo
管理员 4.7k 声望 / Backend Manager @ RightCapital
最佳答案

线上可以不需要 .env 文件,只要把 config 目录下的配置里所有 env() 函数的第二个参数设成线上的数值即可,本地可以继续保留 .env 文件。

4年前 评论
zhaiduting (楼主) 4年前
谢谢!
zhaiduting (楼主) 4年前
这办法的确有效,配置参数写进php文件以后可以起到保护作用。如果试图访问 http://x.xxx.xx/laravel5/config/app.php 这样的文件,是看不到任何信息的。恶意用户只能得到一个 500 的无意义信息。.../config/database.php 等文件同理。不知道有没有更好的办法,可以直接禁止访问某个文件或文件夹的那种
zhaiduting (楼主) 4年前
把配置信息写到 config 目录的文件里,虽然感觉参数写死了,但是通用性强。如果一定要修改配置文件的话,还得针对apache、nginx和IIS各写一份,更麻烦,不如写死参数来得快
5
讨论数量: 6

高认可度评论:

leo
管理员 4.7k 声望 / Backend Manager @ RightCapital

线上可以不需要 .env 文件,只要把 config 目录下的配置里所有 env() 函数的第二个参数设成线上的数值即可,本地可以继续保留 .env 文件。

4年前 评论
zhaiduting (楼主) 4年前
谢谢!
zhaiduting (楼主) 4年前
这办法的确有效,配置参数写进php文件以后可以起到保护作用。如果试图访问 http://x.xxx.xx/laravel5/config/app.php 这样的文件,是看不到任何信息的。恶意用户只能得到一个 500 的无意义信息。.../config/database.php 等文件同理。不知道有没有更好的办法,可以直接禁止访问某个文件或文件夹的那种
zhaiduting (楼主) 4年前
把配置信息写到 config 目录的文件里,虽然感觉参数写死了,但是通用性强。如果一定要修改配置文件的话,还得针对apache、nginx和IIS各写一份,更麻烦,不如写死参数来得快
5
排序:
时间 投票
dvaknheo
5 声望

那就还是用旧版 CI 或者 TP 3.2 吧。至少人家稳定。
CI2.x 系列跑了十来年的都有。 CI 一个好处是除去不恰当使用,基本没漏洞。

4年前 评论
zhaiduting (楼主) 4年前
生米煮成熟饭了,我都用laravel搞得差不多了
hiword
205 声望

public_path重新设定下就行了,laravel其它可以全部移走

4年前 评论
zhaiduting (楼主) 4年前
laravel项目不能移出,只能放在网站根目录下面
leo
管理员 4.7k 声望 / Backend Manager @ RightCapital

线上可以不需要 .env 文件,只要把 config 目录下的配置里所有 env() 函数的第二个参数设成线上的数值即可,本地可以继续保留 .env 文件。

4年前 评论
zhaiduting (楼主) 4年前
谢谢!
zhaiduting (楼主) 4年前
这办法的确有效,配置参数写进php文件以后可以起到保护作用。如果试图访问 http://x.xxx.xx/laravel5/config/app.php 这样的文件,是看不到任何信息的。恶意用户只能得到一个 500 的无意义信息。.../config/database.php 等文件同理。不知道有没有更好的办法,可以直接禁止访问某个文件或文件夹的那种
zhaiduting (楼主) 4年前
把配置信息写到 config 目录的文件里,虽然感觉参数写死了,但是通用性强。如果一定要修改配置文件的话,还得针对apache、nginx和IIS各写一份,更麻烦,不如写死参数来得快
5
zhaiduting
课程读者 386 声望

刚刚百度了一篇文章《.htaccess的基本作用及相关语法介绍》,貌似配置 .htaccess 文件可以达到要求。但是好像有几个前提:1、只能针对阿帕奇服务器有效,IIS或nginx无效?2、只能针对当前目录有效,层级目录的话需要多层配置? 文章没有仔细阅读了,因为感觉还是解决不了我的问题

4年前 评论
可乐加冰
课程读者 41 声望

都这么干了,, 把原有项目统一一下吧. 不然接手人有想打死你的冲动

4年前 评论
zhaiduting (楼主) 4年前
原项目不用动的,不知道他是怎么写的,轻易没法动。仅仅加了一个新功能的链接,让他指向laravel的路由,之后就是我该干的事了。用laravel进行增删改查或者表间关联操作,比原项目的那套方便得不是一丁点!原项目还得自己写SQL查询……接手人也会觉得这样很方便的!
❤seven 4年前
@zhaiduting nginx代理一下就行 判断访问的路径 选择执行laravel的程序 还是原来的程序 什么都不用改
zhaiduting (楼主) 4年前
@❤seven 谢谢,这个项目好像是用IIS搭的服务器,改天我也用IIS试试,然后百度一下 web.config 的配置方法
可乐加冰 (作者) 4年前
@zhaiduting 好吧,我也不是太清楚你怎么弄的.如果是我的话,我会选择另起一个项目,或者在原有项目上面做处理原有上面太难用的话,会通过composer引入一些常用的组件
zhaiduting (楼主) 4年前
@可乐加冰 情况是这样的,原有项目很大很复杂,仅仅需要我添加一个小功能模块。直接修改原项目不划算,要读他的代码,手写SQL查询,用原生PHP添加新功能。我的做法比较优雅,原项目包里创建laravel,好处明显:1、不污染原项目,相对隔离;2、贯通性强,因为没有另起炉灶,完全规避跨域问题;3、集laravel与Vue于一身,升级到Webpack4,实现前端资源懒加载。真的是便利多多!(laravel5.4集成了前端资源,laravel5.0-5.3 需要自己配置前端)
dvaknheo
5 声望

laravel项目不能移出,只能放在网站根目录下面

可以的啊, 把index.php 里这句 

 require __DIR__.'/../vendor/autoload.php';

改了就行

4年前 评论
zhaiduting (楼主) 4年前
谢谢!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
zhaiduting 386 声望
TA 的博客
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消