レンタルサーバを利用していて独自のphp.iniを設定する場合、ドキュメントルートに置いたりしますね。
ブラウザで閲覧されないように、下記の内容の「.htaccess」を置いたりして対応します。
<Files ~ “\.ini”>
deny from all
</Files>
そこで、ふと思いました。
「Zend Framework」にも、.iniファイルがあったな…と。(php.iniではなく)
あえて場所は書きませんが、ブラウザで閲覧できました。
「これはマズイ」
さっそく、前述の「.htaccess」を設置しました。
そういえば、WordPressのプラグイン「WP-DBManager」で、セキュリティ対策としてバックアップデータの
保存先に「.htaccess」を設置していましたね。
重要なディレクトリにはガードを忘れずに。
うっかりすると、ブラウザ閲覧で簡単に情報漏えいしてしまいます。
