tag
虚拟主机
该标签下有 3 篇文章
2026-06-11
是否把密钥文件遗忘在了公开目录里:webroot 盘点
放进 webroot(公开目录)的文件,只要访问 URL 任何人都能取走。令牌或认证凭据的 JSON、.env、备份一旦遗忘在那里,立刻造成实害。再加上若源自共用模板,同一个洞会横向扩散到所有站点。对策=公开目录只放可以公开的东西,密钥放在 webroot 之外+权限 600,并且盘点自己的服务器、一处发现就全机排查。
2026-06-07
Laravel 应用的 .env 被暴露给全世界——共享虚拟主机上最常见的部署错误
根本原因是『把应用本体放到了 public_html 目录正下方』。本该只暴露 public/。按应急处置→密钥轮换→结构改造三个阶段修复,并用机制防止再次发生。
2026-06-07
在虚拟主机上避免 .env 被公开的目录布局与配置
核心是『把应用主体放在 docroot 之外,只公开 public/』。先用 .htaccess 止血,再做结构改造实现长期防护,最后自我检查。本站的视角=这不是个人的疏忽,而是行业层面把『坏做法标准化』了。所以要靠机制而不是靠注意力来防御。bootstrap-redirect 比 symlink 更牢靠。