URL -安全性中的php文件

Question

拥有以下urls是否仍然安全：

http://www.website.eu/product.php?id_product=916

如果不是，什么是安全隐患？有谁能给我提供一个关于这个安全实践的最新信息的链接。

谢谢

Answer 1

据我所知没有保安人员。只要您的代码清理所有用户输入，并且在发生错误时不泄漏敏感信息(如文件路径或查询)，您就应该没事。只需确保阻止对用户不应该访问的目录(例如库或配置目录)的所有访问。

Answer 2

您可以在这里做的最基本的事情是将它转换为逻辑URL，而不是现在的物理URL。

physical URL - http://www.website.eu/product.php?id_product=916
Logical URL  - http://www.website.eu/product/916

这将只公开所需的内容，而不是代码的完整实现风格。

要做到这一点，您必须对存在.htaccess的文件夹的product.php文件进行一些小的更改。

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}\.php -f
RewriteRule ^product/$ product.php?product_id=$1 [NC]