tag
虛擬主機
該標籤下有 3 篇文章
2026-06-11
是否把金鑰檔案遺忘在了公開目錄裡:webroot 盤點
放進 webroot(公開目錄)的檔案,只要存取 URL 任何人都能取走。權杖或驗證憑證的 JSON、.env、備份一旦遺忘在那裡,立刻造成實害。再加上若源自共用範本,同一個洞會橫向擴散到所有站點。對策=公開目錄只放可以公開的東西,金鑰放在 webroot 之外+權限 600,並且盤點自己的伺服器、一處發現就全機排查。
2026-06-07
Laravel 應用程式的 .env 被暴露給全世界——共享虛擬主機上最常見的部署錯誤
根本原因是『把應用程式本體放到了 public_html 目錄正下方』。本該只暴露 public/。按緊急處置→金鑰輪換→結構改造三個階段修復,並用機制防止再次發生。
2026-06-07
在虛擬主機上避免 .env 被公開的目錄配置與設定
核心是『把應用程式主體放在 docroot 之外,只公開 public/』。先用 .htaccess 止血,再做結構改造實現長期防護,最後自我檢查。本站的視角=這不是個人的疏忽,而是業界層面把『壞做法標準化』了。所以要靠機制而不是靠注意力來防禦。bootstrap-redirect 比 symlink 更牢靠。