【已回复】PHP文件能下载

站点设置为纯静态的时候，PHP文件竟然能下载，属于很严重的安全问题了
#PHP-INFO-START  PHP引用配置，可以注释或修改
    include enable-php-00.conf;
#PHP-INFO-END

经检查，enable-php-00.conf 文件为空，并没有任何内容，后来我手动改动了下，添加内容如下

location ~ [^/]\.php(/|$){
    deny all;
}

纯静态模式下，不解析PHP，当然会当文件被下载，如果有PHP文件，且不希望被下载，请不要设置为纯静态
宝塔提供的是相对自由的环境，不会随便给限制，有些用户就是希望纯静态下可以下载任何内容，方便其部署项目，

所以除非很多人认为自己需要纯静态模式且不希望某些文件类型不被下载，我们才会考虑默认禁止一些文件类型的访问。

您好，根据您的反馈，已经设置成纯静态了，网站不再解析php文件，因此访问php文件时候会以下载方式去访问，您可以使用我们的防火墙实现禁止访问的功能

你这个逻辑有问题，纯静态是不希望被访问php文件，有些站点分内部域名和外部域名，一般客户认为的纯静态是PHP不能访问，结果你告诉我PHP不能访问竟然可以下载，这本身就是个很严重的安全漏洞！

你说的利用nginx 防火墙禁止，只能事后补救，但要是客户不知情？岂不是裸奔在网络上？比如dedecms phpcms  这类公共的CMS，被人家下载PHP文件，分析，破解？

18178992299 发表于 2019-4-9 18:16
你这个逻辑有问题，纯静态是不希望被访问php文件，有些站点分内部域名和外部域名，一般客户认为的纯静态是P ...

您好，能告诉我为什么php的站点要用纯静态的模式访问吗？我要搜集用户的常用习惯来敦促研发去改进我们的面板功能。麻烦告知下。或者方便加下QQ   2839983100  ，记得做下备注  我们一起讨论下。感谢您的反馈。