php 系统的代码组织

将配置文件移出文档根目录

简单的说，互联网上任何不能被用户直接访问的文件都不应该保存在Web站点的文档根目录。比如 codekissyoung.com  对应的 web根目录是  /var/www/codekissyoung那么所有与 codekissyoung 有关的配置，文档之类的文件，都应该放在/var/www/codekissyoung_etc 下在 codekissyoung 的访问接口 index.php 中：require "../codekissyoung_etc/etc.php";

严禁将账号密码等明文写于文件中

类似于 数据库配置，网站 常数 KEY 值，管理员账号等敏感信息，应该放于codekissyoung_etc/etc.php 中，严禁明文写在程序中！这样做的原因是当一个恶意用户请求一个非php或html文件时可能发生的状况，默认情况下Web服务器会将文件的内容导出到输出流。要更好的避免这种情况，还必须确保配置Web服务器为只允许请求php和html文件，而对其他类型的文件请求必须返回错误。同样的，任何其他文件，如密码文件、配置文件等，都必须与公众文档根目录隔离。还有，不要启用php的allow_url_fopen选项，避免引入其他机器上的文件。

文件系统权限

　　PHP是能够与本地文件系统进行交互的。必须确保在PHP与文件系统交互时的权限问题，保证用户不能看到私密的文件，如php.ini等。