кажется структура проекта, создаваемая по умолчанию, не очень безопасна.
Подскажите, пожалуйста,
К каким файлам/папка нужно закрыть доступ при продакшен использовании?
Предлагается доступ закрывать в .htaccess ?
Почему по дефолту не реализована структура, где папка protected (и прочие папки, которые не должны быть доступны пользователю) вынесена на уровень выше (вне web root)?
Странно это как то. У меня 5.4.21, апач 2.4.6. Пока не убрал везде с htaccess не запускался.
Можно попробовать что то такое:
<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">
Deny from all
</Files>
Может еще какие то советы подскажете? Уже был случай когда в картинку дописывали php код, так что больная тема, а в безопасности я не силен. С обновлением апача и добавкой проверка уязвимость ушла, интересно что еще могут придумать.