2.3.3 保护包含文件

对于各种类型的包含文件,最好的保护是确保它们不包含密码。这似乎没什么意义,但是任何时候只要有一个密码以明文形式存在于文件中,这个密码就可能受到侵害。在IIS上,你可以将包含文件的常用文件扩展名(.inc)改为.asp,或者将.inc扩展名重新映射到ASP引擎。这种修改将导致它们在服务器端处理,避免源代码在客户浏览器上显示。默认情况下,.inc文件在浏览器中被显示为文本。记住,修改其他脚本或内容中的首选项为改名后的包含文件。