如果 htaccess 不允许浏览文件夹,将文档存储在 public_html 下是否安全?

Is it safe to store documents under public_html if htaccess doesn't allow browsing folders?

我知道通常建议将用户上传的文件等文档存储在网络根目录下。但是,如果文档存储在 public_html 中的文件夹中,并且 htaccess 设置为阻止浏览文件夹,并且上传文件的文件名是一个随机生成的长字符串,那么如果没有人如何访问该文件还是许可?

是的,如果网络服务器不允许 public 配置访问,那么没有人可以访问这些文件。但是,不允许通过配置访问比文件根本不存在更脆弱。粗心的管理员错误配置服务器并突然允许访问这些文件的情况总是会发生,如果您一开始就将文件放在 webroot 之外,这根本不是问题。也许您还有一个次要漏洞,有人可能会更改您的 .htaccess 文件,从而允许他们自己通过后门进入。同样,如果文件根本不存在也不是问题。