百度視頻搜索漏出配置數據庫PHP代碼

        下午 17 點左右，訪問百度視頻搜索首頁，在網頁頂部會輸出一段注釋為“備用配置”的 PHP 代碼，代碼中包含 master、database 等敏感 config 信息，甚至還有 password 這樣的字眼和值。

        經觀察，露在百度視頻搜索首頁的 PHP 代碼應該是一段配置信息模板，作者以注釋的形式保存，操作代碼不慎被輸出了。其中的信息包括一些數據庫主機 IP、端口、帳號密碼以及 memcache 配置，不過，從其中的內網主機 IP 看，露出的信息只是內部測試配置，盡管有帳密等敏感信息，但并無真實價值。

        百度視頻搜索網頁上的 PHP 代碼

        比較驚訝的是百度這種訪問量巨大的網站也會出現這類發布失誤現象，一般的個人網站或訪問量不大的網站出現輸出異常影響面幾乎不大，除非輸出真實 賬號密碼等信息。對百度視頻這種每秒上千人在線的線上產品，影響就多一點了，一是代碼影響了頁面正常呈現，二是會有大量的人看到這段代碼。百度視頻搜索輸 出 PHP 代碼情況大概在 17 點 30 分左右已恢復正常。

        關注這個原因是筆者以往在折騰自己個人網站時，也有直接線上調試的壞習慣，有時是懶得用調試模式，抱著一種反正沒訪問量，也沒多少人會看到調試 信息的想法。實際上，這是一種定時炸彈類的壞習慣，亟需改正的毛病。磨刀不誤砍柴工，用完整有序的方法做事，經常效率會比隨意來的高，諸如定時備份之于宕 機，代碼管理之于代碼丟失，筆者是曾深有體會不做的痛苦和做的高效有序。

來自: www.sky84.cn