Amr*_*Amr 5 php security .htaccess
哪种方法可以防止直接访问某个网站的某些目录?
1- .htaccess在我们要保护的每个目录中创建并放置一个文件,并在其中放置下一行:
Deny from all
2- index.php在我们想保护的每个目录中创建并放置一个文件,并只在其中放置下一行代码(将重定向到网站的主页):
<?php header("Location: http://" . $_SERVER['HTTP_HOST']); ?>
3-别的什么(它是什么?)
如评论中所述,最安全的方法是将内容或目录放在Web服务器的公共文档根目录之外.这将确保即使删除.htaccess文件或服务器不允许.htaccess覆盖,也不会提供内容.
要确定文档根目录,您只需回显PHP $_SERVER['DOCUMENT_ROOT']变量即可.因此,如果你的root是/var/www/html,你可以创建一个文件夹/var/www/protected_folder,Apache(或其他Web服务器)将永远不会提供它(除非更改http.conf文件以修改文档根文件夹).
如果文件夹必须位于文档根目录中,则使用.htaccess文件DENY或重定向是一个不错的选择.
正如TerryE所提到的,您还可以使用操作系统级文件权限拒绝Apache用户访问该文件夹(例如,将其他用户设置为所有者,然后将该文件夹的权限设置700为).如果他们尝试访问该文件夹,他们会得到它,你可能不希望显示(尽管你可以设置自定义403错误处理程序在403 Forbidden错误http.conf或htaccess).具体取决于您要执行的操作,您可能需要这种方法,因为include()如果您愿意,它还可以阻止脚本(即PHP 等)的访问,因为PHP默认情况下在Web服务器用户下运行.这种方法的主要缺点是在迁移过程中通常不会保留文件权限(如果它们没有正确完成),并且在使用递归标记更改父文件夹权限时有时会无意中重置文件权限(而不会有人不经意地将文件夹移动到文档根目录中).