Многие web-разработчики используют файлы inc для хранения переменных, в том числе и паролей. При пренебрегательном отношении к безопасности, содержимое файлов может вывестись простым запросом искомой страницы. Вот, какие методы помогут избежать этого:
1) файлы inc всегда должны заканчиваться на .php (пример, config.inc.php)
2) запретить доступ к inc-файлам (а так же к .htaccess) на уровне web-сервера
Последний вариант рассмотрим с примерами для apache/nginx.
Apache
<Files ~ "^\.htaccess">
Order allow,deny
Deny from all
</Files>
<Files ~ "\.inc$">
Order allow,deny
Deny from all
</Files>
Nginx
location ~ \.inc$ {
deny all;
}
location ~ \.htaccess {
deny all;
}
Если используется php-fpm, то можно задать такую переменную в конфиге php-fpm’a:
security.limit_extensions = .php
которая определяет, в каких файлах будет выполняться php-код.
