Laravel applications sensitive info leak
langu_xyz
 2017-02-26 21:00:00      183 Words  1 Mins

.env 文件位于项目根目录下,作为全局环境配置文件。

google hack "DB_PASSWORD" filetype:env

以下内容引用自https://www.cnblogs.com/yingww/p/5607766.html

.env文件含有数据库账号密码等敏感数据,在laravel5.2中,在本地访问127.0.0.1/laravel/.env可直接访问到.env

为避免.env被直接访问,可使用重定向,方法如下:

在根目录下添加.htaccess文件(与.env处于同一个目录,Apache必须开启重定向扩展)
.htaccess文件内容如下:

将所有的的请求都重定向到public目录下

1
2
3
4
5
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule    ^$    public/    [L]
RewriteRule    (.*) public/$1    [L]
</IfModule>

这时将无法访问127.0.0.1/laravel/.env

  • Post title:Laravel applications sensitive info leak
  • Post author:langu_xyz
  • Create time:2017-02-26 21:00:00
  • Post link:https://blog.langu.xyz/Laravel applications sensitive info leak/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.