发现用nginx 的try_files $uri $uri/ /index.php$is_args$args; 这样重写不太安全

问题描述

问 题

这是我的项目结构：

用以上方法重写的话：
如果输入www.***.com/app/*.php，这样的话，虽然代码执行不成功，但是就能知道存在这样的文件（可以猜文件了）

当然我知道现在的有些框架（laravel）有种做法是：index.php和前端资源文件放入public文件夹中（网站root配到public下面）

解决方案

最简单的办法是在与try_files同级的地方写一条root限制这个try_files作用位置。

try_files按其后面的参数顺序检查文件是否存在，返回第一个找到的文件，必然会碰到题主这种安全问题，参考主流框架laravel之类的做法写最省事。

这篇关于发现用nginx 的try_files $uri $uri/ /index.php$is_args$args; 这样重写不太安全的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！