该标签下有 1 篇文章
核心是『把应用主体放在 docroot 之外,只公开 public/』。先用 .htaccess 止血,再做结构改造实现长期防护,最后自我检查。本站的视角=这不是个人的疏忽,而是行业层面把『坏做法标准化』了。所以要靠机制而不是靠注意力来防御。bootstrap-redirect 比 symlink 更牢靠。