PHP安全之防止.inc配置資訊暴露

發現現在的項目是把所有的包含檔案放在主目錄下面，如下圖：

網站目錄為public,除了入口檔案，所有的源碼及設定檔，都在網站目錄外。
剛開始沒有意識到為什麼這麼做，後來想了想，真的很有必要，否則很容易就吧原始碼和一些重要訊息暴露在外了：
（1）比如說.inc副檔名的設定檔，和其它文本類型的檔案，直接就可以在瀏覽器上訪問了，很多能這裡面就有資料庫的帳號啊
（2）如果你的apache還沒有對PHP支援的時候,php檔案也會預設作為文本類型在瀏覽器上訪問【升級apache，或修改配置的時候可能出現】
如果將你的程式包含在網站目錄之外，就避免了保留私密資訊的危險。當然，你可以在apache上配置如禁止在瀏覽器上訪問.inc檔案：

代碼如下	複製代碼
<Files ~ ".inc$">     Order allow,deny     Deny from all </Files>

類似的很多細節很容易被營運人員忘記