在公共文件夾中包含帶有配置的 php 文件是否存在安全風險？

我的根文件夾中有一個 config.php。使用者可以訪問domain.com/config.php 但是該文件不會回顯/列印任何配置。我是否仍然需要在某些 .htaccess 規則中拒絕，或者它是否安全？

特別是它是一個 wordpress 應用程序，我剛剛意識到我可以打開 wp-config.php

由於某種原因（臨時錯誤配置、升級……），這不是第一次 Web 伺服器因 PHP 處理程序而失敗。如果頁面有任何風險甚至可能以純文字形式載入而不是作為腳本處理，那麼您最終會洩露您的密碼。

比任何.htaccess限制都更安全的是將配置文件保存在文件根目錄之外（例如 in~/conf/而不是~/public_html/）。include()如果您 a)文件位於其原始位置並且 b) PHP 可以訪問這兩個文件，即使 Web 伺服器沒有，CMS 或其他應用程序甚至不會辨識出任何差異。

引用自：https://serverfault.com/questions/882321