在启用跨目录配置时，如何最大限度保护数据安全。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2169 天前的主题，其中的信息可能已经有所发展或是发生改变。

网站目录结构如下： web/app （为网站根目录） web/data （网站根目录里面的程序需要读取这个文件夹里的配置内容） web/images （网站上传的图片等到此目录）

在这样情况下，如何通过配置 nginx 和 php 来保护 web/data 和 web/images 文件夹里面的数据安全？

求大佬指点。。。

10 条回复 • 2018-12-21 18:00:03 +08:00

dnsaq

2018-12-17 00:32:52 +08:00 via iPhone

配置允许访问 web 目录即可，网站根目录还是 web/app 不变

xmlf

2018-12-17 07:37:27 +08:00 via Android

@dnsaq 是的，我就是这样配置的。但是如果遇到上传木马了，data 中的内容不是可以被获取下载了吗？

xfspace

2018-12-17 08:26:25 +08:00 via Android

避免不了，网站始终都要连数据库

防入侵不是保护数据🌚

dnsaq

2018-12-17 08:55:43 +08:00 via iPhone

@xmlf 跨目录是为站与站提供隔离的，一个站的目录又要访问又要禁止访问这不是自相矛盾吗

xmlf

2018-12-17 10:26:52 +08:00 via Android

@dnsaq 是因为 web/data 文件夹内容不想被直接访问到。保护数据安全。

xmlf

2018-12-17 10:30:48 +08:00 via Android

@xfspace 如何能最大限度防止？

EscYezi

2018-12-20 17:10:04 +08:00 via iPhone

配置两个 server，一个负责静态资源，一个负责 php。php server 配置 web/app 为根目录。
静态资源 server 配置 web/app deny all，其他文件夹可访问（具体看你需求）。

xmlf

2018-12-20 20:58:20 +08:00 via Android

@EscYezi 可能没说清楚，这是一个站，data 和 images 目录内容，都是让 app 目录程序读取或写入的。

EscYezi

2018-12-21 14:54:10 +08:00 via iPhone

@xmlf 那就 Nginx 设置 web/app 为根目录，记得 cgi.fix_pathinfo 设为 0，做好文件类型校验。

xmlf

2018-12-21 18:00:03 +08:00

@EscYezi 这个 cgi.fix_pathinfo 在目前新版本里默认就是关闭的。
我将 nginx/php 运行用户和网站文件所有者设为不同用户。

这样是否就可以避免 web/data 和 web/images 内容被获取了？