小白提问：是什么保证了 wp-config.php 无法被访客访问？

那个页面并没有输出任何内容。
编程语言运行后输出的是结果，而不会输出源码。

@lincanbin 那访客是可以下载到该文件的吗？

游客访问了啊，游客进入你 WP ，必然会 include 到 wp-config.php

没有输入任何内容，相当于下载了一个空白的页面

@66beta 那是如何保证 wp-config.php 中数据库和密码的信息不被泄漏的呢

@Tony2ee 单纯访问网站是看不到代码的，除非黑进你的服务器

游客访问这个页面会经过 PHP 引擎的处理，这个页面的返回空的内容经过 Web 服务器传给用户。

如果你的 PHP 引擎没有配置成功会导致该文件被下载。

LZ 没有搞清楚一件事情， 就是用户下载到的文件是 compile 之后的文件， 其实就是空白的。 只要你不是开了目录访问类似于 ftp ，这样是可以看到 php 代码的。走 http server 其实最后输出的都是 html

@Tony2ee 你直接跑一个 exe 文件，你会看到源码吗？

@66beta 那访问 php 的网站实际上浏览器只是显示执行 php 文件输出的结果是嘛

@Tony2ee 是的，除非你 web server 配错...

被容器过滤掉了，实际是 php 输出的 html

因为你的 HTTP 服务器配置了所有访问 .php 文件的请求都要转给 PHP 引擎来处理， PHP 引擎是不会输出源码的。如果你网页服务器配置有问题可能会输出源文件

因为别人一个请求过来，你的 web server 发现这是一个.php 文件，于是执行了它，然后返回它的返回值。如果你 web server 设置的是.php 文件直接返回，别人就能下载了。

因为这个文件的扩展名是 .php 呀， Web Server 会让 PHP 解释器运行它，脚本的运行逻辑怎么会输出给客户端？这个文件里就没写要直接输出的东西。

@jasontse
@kindjeff
@Pastsong
@bk201
@awanabe
谢谢你们的讲解 感谢已发

nginx 里

location ~ .*\.(php|php5)?$ {
fastcgi_pass 127.0.0.1:9000;
include /xxxxx/nginx/conf/fastcgi_params;
}

就会转给 php 处理