Как защитить PHP-код на htm-страницах и партиалах?

Я использую OctoberCMS на основе Laravel и Twig с Nginx и PHP7.0- ФПМ.

Я создаю страницу или часть с помощью CMS Backend Editor. Можно редактировать разметку HTML и код.

editor

Страница будет отображаться как localhost/mypage и скроет исходный код php.

Но я могу перейти на localhost/themes/mysite/pages/mypage.htm в браузере и просмотреть разметку Twig и комментарии PHP в виде обычного текста.

А на некоторых страницах я могу просмотреть весь код PHP и Laravel, например подключение к именам баз данных и таблицам.

Все, что находится в функции onStart() в редакторе кода, даже если оно заключено в теги php в файле htm.

вывод mypage.htm:

php открытый текст< /а>

Однако при просмотре файла .php он показывает только вывод, а не источник.

Я попытался изменить расширение файла подкачки на php вместо htm, но получил ошибку.

Invalid file extension: php. Allowed extensions are: htm.

php html laravel octobercms
person Matt McManis    schedule 11.02.2017    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Правильно ли вы настроили nginx для внесения в черный список этих и других запрещенных файлов? http://octobercms.com/docs/setup/configuration#nginx-configuration

В качестве альтернативы вы можете применить подход к безопасности с помощью белого списка и использовать команду october:mirror: http://octobercms.com/docs/setup/configuration#public-folder

person LukeTowers    schedule 11.02.2017
comment
Вы указали мне правильное направление. Мой сайт находится в корневом каталоге /var/www/mysite/public/. Я добавил правила для сайтов-доступное местоположение / {} и за пределами местоположения. Перезагрузите и перезапустите Nginx. Но файл htm все еще отображается. - person Matt McManis; 11.02.2017
comment
Я заставил его работать с помощью перезаписи ^themes/.*/(layouts|pages|partials)/.*.htm /index.php break; и поставить косую черту после ^. Итак, ^/темы/. - person Matt McManis; 20.02.2017